(高清版)GBT 40652-2021 信息安全技術 惡意軟件事件預防和處理指南

信息安全技術惡意軟件事件預防和處理指南2021-10-11發(fā)布國家標準化管理委員會前言 I 2規(guī)范性引用文件 3術語和定義 4縮略語 25規(guī)劃和準備 35.1概述 35.2事件響應小組 35.3基本預防措施 45.4安全意識教育 55.5脆弱性防范 55.6惡意軟件防范 66發(fā)現(xiàn)和報告 86.1概述 86.2惡意軟件事件發(fā)現(xiàn) 87評估和決策 8響應 8.1概述 8.2惡意軟件事件響應計劃 8.3惡意軟件事件遏制 8.4識別被感染主機 8.5惡意軟件的根除 8.6惡意軟件事件溯源 8.7系統(tǒng)恢復 9經(jīng)驗總結 附錄A(資料性)惡意軟件事件處理場景 附錄B(資料性)遏制惡意軟件常用技術 參考文獻 I本文件按照GB/T1.1—2020《標準化工作導則第1部分：標準化文件的結構和起草規(guī)則》的規(guī)定起草。請注意本文件的某些內(nèi)容可能涉及專利。本文件的發(fā)布機構不承擔識別專利的責任。本文件由全國信息安全標準化技術委員會(SAC/TC260)提出并歸口。本文件起草單位：中國科學院大學、西安電子科技大學、國家計算機病毒應急處理中心、中國科學院信息工程研究所、奇安信科技集團股份有限公司、北信源軟件股份有限公司、中國航空綜合技術研究所。1信息安全技術惡意軟件事件預防和處理指南本文件在GB/T20985.1—2017和GB/T20985.2—2020的基礎之上，針對惡意軟件事件的預防和處理過程給出了進一步指南。本文件適用于計算機系統(tǒng)管理人員、網(wǎng)絡管理人員、安全事件響應小組等預防和處理惡意軟件事件。2規(guī)范性引用文件下列文件中的內(nèi)容通過文中的規(guī)范性引用而構成本文件必不可少的條款。其中，注日期的引用文件，僅該日期對應的版本適用于本文件；不注日期的引用文件，其最新版本(包括所有的修改單)適用于本文件。GB/T20985.1—2017信息技術安全技術信息安全事件管理第1部分：事件管理原理GB/T20985.2—2020信息技術安全技術信息安全事件管理第2部分：事件響應規(guī)劃和準備指南GB/T25069信息安全技術術語3術語和定義GB/T25069界定的以及下列術語和定義適用于本文件。被專門設計用來損害或破壞系統(tǒng)，對保密性、完整性或可用性進行攻擊的軟件。注：病毒和木馬是惡意軟件的例子。惡意軟件事件malwareincident由惡意軟件引起，并造成保密性、完整性或可用性破壞的信息安全事件。防病毒軟件antivirussoftware監(jiān)控主機和網(wǎng)絡的程序，通過惡意軟件的特征、白名單和異常行為等檢測惡意軟件，并能識別和清除惡意軟件注：防病毒軟件又稱為反病毒軟件、殺毒軟件。在計算機程序中插入破壞計算機功能或者數(shù)據(jù)，影響計算機使用并且能自我復制的一組計算機指令或程序代碼。2采取加密或屏蔽用戶操作等方式劫持用戶對系統(tǒng)或數(shù)據(jù)的訪問權，并借此向用戶索取贖金的惡意可以繞過系統(tǒng)的權限管理機制，接收并執(zhí)行來自特定端口請求的惡意軟件。帶有惡意意圖并能夠通過遠程主機傳播到本地主機，無需用戶主動觸發(fā)就可以在本地自動執(zhí)行的從計算機竊取用戶隱私或保密信息的惡意軟件。注：信息可能包括最頻繁訪問的網(wǎng)站或密碼之類的更敏感信息的事項。Rootkit惡意軟件rootkitmalware隱藏在目標系統(tǒng)內(nèi)部，能夠以內(nèi)核態(tài)或用戶態(tài)權限運行，并對系統(tǒng)功能調用請求進行攔截和篡改，以及秘密收集目標系統(tǒng)信息的惡意軟件。防火墻或路由器的配置項，除了明確允許通過的網(wǎng)絡數(shù)據(jù)外，在默認情況下拒絕其他所有網(wǎng)絡由組織中具備適當技能且可信的成員組成的團隊，負責在事件生存周期中處理事件。注：IRT通常被稱為CERT(計算機應急響應小組)和CSIRT(計算機安全事件響應小組)。4縮略語下列縮略語適用于本文件。BIOS:基本輸入輸出系統(tǒng)(BasicInput/OutputSystem)DDoS:分布式拒絕服務攻擊(DistributedDenialofService)HTTP:超文本傳輸協(xié)議(HypertextTransferProtocol)IDS:入侵檢測系統(tǒng)(IntrusionDetectionSystem)IoT:物聯(lián)網(wǎng)(InternetofThings)IP:網(wǎng)際互連協(xié)議(InternetProtocol)IPS:入侵防御系統(tǒng)(IntrusionPreventionSystem)USB:通用串行總線(UniversalSerialBus)35規(guī)劃和準備5.1概述GB/T20985.1—2017的5.2和GB/T20985.2—2020的第4章～第11章的指南適用。并且，以下事件響應小組、基本預防措施、安全意識教育、脆弱性防范、惡意軟件防范等特定的指南適用。5.2事件響應小組在GB/T20985.1—2017中5.2的c)、d)和GB/T20985.2—2020的第7章基礎上給出如下進一步指南。組建事件響應小組時應綜合考慮以下內(nèi)容。組織宜依托事件響應小組，負責惡意軟件事件的響應工作，制定針對惡意軟件事件的處理流程，并參照事件處理流程對安全事件響應小組成員分配不同的角色。經(jīng)常對小組成員進行安全培訓，保證小組成員能及時準確地對惡意軟件事件做出反應及進行處理。惡意軟件事件處理人員宜掌握以下技能。a)了解已知的典型惡意軟件感染和傳播的主要特征。b)熟悉組織配備的惡意軟件檢測工具和相關配置情況，會使用所配備的工具，能分析相關數(shù)據(jù)并確認特定的威脅。c)有一名以上事件處理人員熟練使用計算機取證工具。d)對信息技術廣泛了解，能預判惡意軟件事件對組織帶來的威脅或影響，為遏制、根除惡意軟件事件的威脅或影響，以及恢復信息系統(tǒng)正常工作做出對應的決策。惡意軟件事件的常見場景見附錄A。e)有一名以上具備高級語言編程能力的維護人員。5.2.4安全服務外包要求組織無法滿足惡意軟件事件響應人員的技能要求和團隊要求時，宜考慮安全服務外包，并滿足以下要求：a)與外包服務商簽訂相關協(xié)議，確保能及時處理惡意軟件事件；b)外包服務商無法及時達到現(xiàn)場處理時，可實施遠程指導；c)外包服務商平時給予定期或不定期安全檢查；d)外包服務商了解各項業(yè)務功能及其之間的相關性，確定支持各種業(yè)務功能的相關信息系統(tǒng)資源及其他資源，明確相關信息的保密性、完整性和可用性要求；e)外包服務商應協(xié)助用戶建立適當?shù)膽表憫呗?，能及時對業(yè)務中斷、系統(tǒng)宕機、網(wǎng)絡癱瘓等突發(fā)安全事件造成的影響進行評估，并在事件發(fā)生后提出快速有效的恢復信息系統(tǒng)運行的方法；f)外包服務商提供相關的培訓服務，以提高用戶的安全意識，便于相關責任人明確自己的角色和責任，了解常見的安全事件和入侵行為，熟悉應急響應策略。4安全事件響應小組成員宜配備必要的工具和資源，具體如表1所示。表1惡意軟件事件處理工具和資源工具/資源說明惡意軟件事件處理人員的通訊方式聯(lián)絡信息組織內(nèi)部和外部小組成員的聯(lián)絡信息(例如，電話號碼、郵件地址、手機號碼等),以及防病毒軟件提供商和其他事件響應小組的聯(lián)絡信息等在線設備提供給組織內(nèi)其他小組的即時更新信息、升級信息等互聯(lián)網(wǎng)連接替補方案遭遇嚴重惡意軟件事件以致網(wǎng)絡無法連接時，需要使用其他方法來尋找有關新威脅的信息、下載補丁和實時更新分析惡意軟件事件的軟件和硬件工具便攜式計算機用于分析惡意代碼樣本、主機日志及網(wǎng)絡流量數(shù)據(jù)備用服務器、網(wǎng)絡設備用來在獨立環(huán)境中測試惡意軟件；如果安全事件響應小組無法確定額外設備的代價，可以考慮使用測試實驗室中的設備，或者使用操作系統(tǒng)仿真軟件建立虛擬實驗室存儲設備用來保存和傳輸惡意軟件樣本的存儲設備，如USB盤、光盤等分析工具分別用來抓取數(shù)據(jù)包和分析網(wǎng)絡流量的包嗅探器和協(xié)議分析儀；最新的未被感染的操作系統(tǒng)和分析工具；用來檢測可能存在惡意軟件感染的軟件(例如，防病毒軟件、惡意軟件專殺工具、系統(tǒng)管理軟件、網(wǎng)絡取證工具)惡意軟件事件分析資源端口列表包括常用端口和已知木馬和后門端口號相關文檔包含操作系統(tǒng)、應用程序、協(xié)議、反病毒和入侵檢測標記等信息的文檔關鍵資源目錄關鍵資源的圖標和目錄，如網(wǎng)站、電子郵件和文件傳輸服務器基線網(wǎng)絡、系統(tǒng)和應用程序活動的預期基線惡意軟件事件處理軟件工具軟件包括操作系統(tǒng)啟動盤、操作系統(tǒng)安裝盤、應用程序安裝盤等安全補丁操作系統(tǒng)和應用程序供應商提供的安全補丁鏡像軟件操作系統(tǒng)、應用程序、存儲在輔助存儲設備中的備份鏡像5.3基本預防措施在GB/T20985.1—2017的5.2c)和GB/T20985.2—2020的6.4a)基礎上給出如下進一步指南。制定基本預防措施時應綜合考慮以下內(nèi)容：a)限制用戶使用管理員級別的特權；b)及時升級操作系統(tǒng)和應用程序的版本，并及時下載、安裝補丁修復相關漏洞；c)指明哪種類型的系統(tǒng)(例如文件服務器、電子郵件服務器、代理服務器)和應用程序(例如電子郵件客戶端、瀏覽器)需要哪些對應類型的安全預防軟件(如防病毒軟件、惡意軟件專殺工具),同時為配置和維護軟件列出相關要求(比如軟件更新頻率、系統(tǒng)掃描范圍);5d)通過組織安全管理部門的批準，方可訪問其他網(wǎng)絡(包括互聯(lián)網(wǎng));e)對防火墻宜進行統(tǒng)一管理、監(jiān)測和審計；f)對終端設備設置BIOS口令；g)及時備份重要數(shù)據(jù)和文件，備份系統(tǒng)與原系統(tǒng)隔離；h)保存資產(chǎn)清單，以便及時了解需要保護的內(nèi)容并對其進行漏洞評估。5.4安全意識教育在GB/T20985.1—2017的5.2g)和GB/T20985.2—2020的第10章基礎上給出如下進一步指南。安全意識教育相關內(nèi)容如下：a)不宜打開未知來源的電子郵件或者電子郵件附件，不通過電子郵件發(fā)送或接收可執(zhí)行文件；b)不宜使用與業(yè)務不相關的軟件；c)不宜點擊可疑的瀏覽器彈出式窗口；d)不宜點擊可疑的網(wǎng)絡地址鏈接；e)不宜訪問可能含有惡意內(nèi)容的網(wǎng)站；f)不宜打開可能與惡意軟件相關聯(lián)的文件；g)不宜關閉防病毒軟件、惡意軟件專殺工具、防火墻等安全軟件；h)不宜使用管理員級別的賬戶進行常規(guī)操作；i)不宜下載或執(zhí)行來自不可信任(如陌生網(wǎng)站)來源的應用程序；j)不宜通過電子郵件回復金融或個人信息，組織不宜通過電子郵件要求得到這些信息；k)在回復電子郵件或自動彈出式窗口時不應提供任何賬號、密碼或者其他登錄憑證，只在組織內(nèi)部網(wǎng)站中使用這些信息；1)如果收到可疑的附件(如陌生人發(fā)送的郵件),宜通過電話等方式聯(lián)系發(fā)送者確認附件的真實性；m)不宜回復任何陌生的或無法確認的電子郵件；n)宜定期對自己的賬戶密碼進行修改并注意加強密碼強度，并實施有效的權限管理機制，結合生物特征識別等技術手段對賬戶信息進行加密保護；o)不宜在互聯(lián)網(wǎng)上隨意登錄組織內(nèi)部的郵箱，宜對垃圾郵件進行及時過濾或清理。5.5脆弱性防范在GB/T20985.1—2017的5.2f)和GB/T20985.2—2020的6.4a)基礎上給出如下進一步指南。進行脆弱性防范時應綜合考慮以下內(nèi)容。補丁管理宜做到以下幾點：a)從官方渠道獲取補??；b)評估補丁對系統(tǒng)的影響，在安全隔離的環(huán)境(對其他設施或系統(tǒng)不造成影響的環(huán)境)測試補丁，并記錄補丁的評估和決策過程；c)及時測試新補丁并對漏洞進行修復，確認軟件漏洞沒有對應補丁的情況下，宜利用其他的脆弱性緩解技術或安全防御技術來預防惡意軟件事件的發(fā)生；d)測試補丁的可利用性時，滿足補丁對組織中每一個易受攻擊的系統(tǒng)都有效，特別是遠程系統(tǒng)(例如遠程辦公系統(tǒng)等)。65.5.3最小特權原則使用最小特權原則宜做到以下幾點：a)對組織內(nèi)的信息系統(tǒng)優(yōu)先利用最小特權原則；b)對組織內(nèi)的服務器、網(wǎng)絡設備、應用程序等，進行用戶分級管理，對不同級別的用戶賦予滿足需求的最低權限。5.5.4其他預防措施除了利用安全軟件等預防惡意軟件，組織宜用如下措施加強預防：a)卸載/禁用與業(yè)務無關的服務或端口，如445端口等；b)刪除不安全的文件共享；c)刪除或者更改操作系統(tǒng)和應用程序的默認用戶名和密碼；d)使用網(wǎng)絡服務之前對使用者進行身份驗證；e)通過修改操作系統(tǒng)配置項，禁止自動運行二進制文件和腳本程序，關閉自動播放策略。5.6惡意軟件防范5.6.1概述在GB/T20985.1—2017的5.2f)和GB/T20985.2—2020的6.4a)基礎上給出如下進一步指南。進行惡意軟件防范措施時應綜合考慮以下內(nèi)容。5.6.2安全軟件部署和管理組織部署和管理安全軟件時宜考慮以下要點。a)安裝好操作系統(tǒng)后立即安裝防病毒軟件，更新最新的病毒特征庫，并安裝防病毒軟件補丁。b)正確配置防病毒軟件，確保防病毒軟件可以持續(xù)有效地檢測和阻止惡意軟件攻擊。c)對統(tǒng)一集中管理的計算機，由安全管理員定期監(jiān)測防病毒軟件的運行情況。管理員通常負責獲取、測試、核實、發(fā)布病毒特征庫，并在組織內(nèi)進行更新。d)安全管理員進行定期檢查，確保系統(tǒng)配置正確并正在使用最新的防病毒軟件。e)部署集中管理的防病毒軟件時，組織確保網(wǎng)絡和服務器可以滿足日常更新和峰值更新時的需求。f)為預防服務器漏洞造成的影響，組織宜考慮使用不同的操作系統(tǒng)平臺搭建防病毒服務器，而不是使用與組織中大多數(shù)服務器和工作站相同的操作系統(tǒng)。g)為提高預防惡意軟件的能力，在關鍵系統(tǒng)(例如電子郵件服務器)中使用多種防病毒產(chǎn)品。h)對組織的遠程連接網(wǎng)點，組織宜考慮改造為統(tǒng)一集中管理。無法統(tǒng)一管理時，及時發(fā)送消息給遠程用戶，提醒用戶及時更新病毒特征庫。i)對用戶進行安全知識培訓，出現(xiàn)重大威脅時本地系統(tǒng)管理員和遠程用戶可有效配合執(zhí)行操作。j)為集中化管理和監(jiān)測，組織決定應用程序如何分布、配置和維護，以及如何去監(jiān)控惡意軟件的活動。k)用戶不宜在系統(tǒng)中禁用或卸載防病毒軟件，也不宜更改任何關鍵設置。1)用戶在使用防病毒軟件時宜根據(jù)系統(tǒng)提示或安全管理員的要求及時升級軟件、更新病毒特征庫等。5.6.3防病毒軟件組織內(nèi)部署防病毒軟件時，防病毒軟件宜提供以下保護功能：7a)掃描系統(tǒng)的關鍵組件，例如啟動文件和引導記錄等；b)自動對外部存儲設備(如移動硬盤、USB盤等)和電子郵件附件進行掃描；c)實時檢查系統(tǒng)中的可疑活動，例如掃描所有電子郵件附件防止已知病毒通過電子郵件傳播；d)監(jiān)測常見的應用程序，例如瀏覽器、文件傳輸程序以及即時通訊軟件的行為；e)防病毒軟件能監(jiān)測可能被用于感染系統(tǒng)和向其他系統(tǒng)傳播惡意軟件的應用程序的活動；f)定期掃描所有硬盤驅動器，以便確認系統(tǒng)是否受感染；支持選擇性地掃描其他存儲設備，可以按需求對外部存儲設備執(zhí)行手動掃描；h)清理注冊表、惡意鎖定主頁等被惡意軟件修改的啟動選項；i)隔離可疑對象；j)定時自動更新病毒庫；k)監(jiān)測在系統(tǒng)啟動時自動加載的進程和程序。5.6.4惡意軟件專殺工具惡意軟件專殺工具宜具備以下功能：a)對特定的惡意軟件目標，能夠快速識別和定位，緩解惡意軟件影響，從系統(tǒng)中根除惡意軟件；b)定期掃描文件，內(nèi)存和配置文件等，檢測可能存在的特定惡意軟件；c)針對某些傳播速度快、容易多次感染的惡意軟件(例如USB盤病毒、勒索病毒等)提供免疫功能；d)針對某些對操作系統(tǒng)功能造成破壞(例如映像劫持、安全模式禁用、任務管理器禁用、注冊表管理器禁用、桌面菜單右鍵顯示損壞、命令行工具禁用、無法修改瀏覽器主頁、顯示文件夾選項禁用等)的惡意軟件，提供修復功能；e)針對某些感染文件造成文件損壞的惡意軟件，提供修復文件功能。5.6.5終端安全軟件終端安全軟件能限制主機出入網(wǎng)絡的活動，既能阻止主機受感染又能阻止主機向外傳播惡意軟件。配置終端安全軟件時宜做到以下幾點：a)為預防惡意軟件事件，基于主機的防火墻對流入的數(shù)據(jù)采用默認拒絕規(guī)則，推薦組織結合實際情況對流出的數(shù)據(jù)采用默認拒絕規(guī)則；b)開啟阻止網(wǎng)頁瀏覽器彈出窗口、抑制服務器緩存文件(Cookies)以及識別網(wǎng)頁和電子郵件中的潛在信息泄漏等功能；注：Cookies是指服務器發(fā)給客戶端，并保存在客戶端中的小型文本文件。c)正確配置終端安全軟件，能實時更新最新的病毒特征庫和軟件模塊；d)為預防網(wǎng)絡蠕蟲和其他威脅，可以通過終端安全軟件來保護可直接訪問網(wǎng)絡的系統(tǒng)。5.6.6應用程序設置預防惡意軟件事件宜考慮的應用程序設置如下：a)阻止打開和運行可疑電子郵件的附件中的文件；b)過濾可疑內(nèi)容，如過濾垃圾郵件和網(wǎng)站有害內(nèi)容；c)限制可疑內(nèi)容，如限制網(wǎng)頁瀏覽器的服務器緩存文件(Cookies);d)攔截網(wǎng)頁瀏覽器的彈出式窗口；e)防止自動啟動宏應用，如辦公軟件中的軟件宏語言自動運行。85.6.7區(qū)域邊界防病毒設備組織宜在網(wǎng)絡區(qū)域邊界部署網(wǎng)絡防火墻或IDS、IPS。配置網(wǎng)絡防火墻或IPS時宜做到以下幾點：a)基于網(wǎng)絡流量識別已知和未知惡意攻擊，提供網(wǎng)絡流量過濾功能，阻止異常流量的入侵；b)有效監(jiān)測出攻擊應用程序(如電子郵件服務器、網(wǎng)絡服務器)的惡意活動；c)識別蠕蟲活動和其他形式的惡意軟件，以及像后門和電子郵件生成器這樣的攻擊；d)開啟默認攔截功能，但在特定條件下，設置允許使用或禁止使用攔截功能；e)為預防惡意軟件事件，設置默認拒絕規(guī)則集，拒絕任何沒有被允許進出的數(shù)據(jù)通過；f)為降低蠕蟲的傳播速度，考慮對外部系統(tǒng)(例如遠程辦公的家用系統(tǒng)、商業(yè)合作伙伴系統(tǒng))的網(wǎng)絡制定限制措施；g)網(wǎng)絡防火墻對進入和流出的數(shù)據(jù)包進行過濾，并確保每一條規(guī)則有效，定期審查網(wǎng)絡防火墻控制訪問列表，刪除無效規(guī)則；h)應配置網(wǎng)絡地址轉換功能，將內(nèi)部網(wǎng)絡的私有地址映射成連接到互聯(lián)網(wǎng)中的一個或多個公共地址，有利于阻止蠕蟲攻擊組織內(nèi)部主機；i)發(fā)生防病毒軟件和入侵防御系統(tǒng)不能監(jiān)測的重大惡意軟件事件時，更改防火墻規(guī)則以阻止基于網(wǎng)絡服務的惡意軟件擴散；j)阻止木馬等惡意軟件訪問外部主機IP地址。6發(fā)現(xiàn)和報告6.1概述GB/T20985.1—2017的5.3和GB/T20985.2—2020的6.4b)、6.5、6.6、6.9中的指南適用。并且，以下惡意軟件事件發(fā)現(xiàn)特定的指南適用。6.2惡意軟件事件發(fā)現(xiàn)在GB/T20985.1—2017的5.3c)基礎上給出如下進一步指南。提前發(fā)現(xiàn)惡意軟件事件的途徑如下。a)惡意軟件預警公告。防病毒軟件提供商和其他安全相關組織發(fā)布的有關新的重大惡意軟件或威脅情報預警的公告。b)安全設備告警。惡意軟件的運行會導致防病毒軟件等安全設備產(chǎn)生相關告警，這些告警意味著可能會發(fā)生惡意軟件事件。針對常見惡意軟件，表2列出了惡意軟件事件最有可能的跡象。獲得管理員權限的惡意軟件的跡象沒有在表2中列出。表2惡意軟件跡象跡象惡意軟件類型復合型病毒宏病毒網(wǎng)絡服務蠕蟲垃圾郵件蠕蟲特洛伊木馬惡意移動代碼后門按鍵記錄Rootkit惡意瀏覽器插件郵件生成器安全設備防病毒軟件告警√√√√√√√√√√√9跡象惡意軟件類型復合型病毒宏病毒網(wǎng)絡服務蠕蟲垃圾郵件蠕蟲特洛伊木馬惡意移動代碼后門按鍵記錄Rootkit惡意瀏覽器插件郵件生成器安全設備專殺工具告警√√√防火墻或IPS告警√√√終端安全軟件告警√√可觀察到的主機活動系統(tǒng)無法啟動√√系統(tǒng)啟動時顯示錯誤信息√√系統(tǒng)不穩(wěn)定，并發(fā)生崩潰√√√√√程序啟動緩慢，運行緩慢，或無法運行√√√√√√系統(tǒng)啟動項出現(xiàn)未知進程√√√√非常規(guī)的端口開放√發(fā)送和接受的郵件數(shù)量突然增加√√√文字處理軟件、電子表格等模板更改√瀏覽器配置更改，如主頁更改或出現(xiàn)新的工具條√√文件刪除、崩潰或無法訪問√√√√屏幕出現(xiàn)異常圖案，如奇怪的消息、圖像、重疊或疊加消息框√√√√出現(xiàn)意外的對話框，請求允許運行程序√√觀察到的網(wǎng)絡活動網(wǎng)絡流量明顯增加√√√√脆弱服務(如打開windows共享)的端口掃描和失敗的連接嘗試√√主機和未知遠程系統(tǒng)存在網(wǎng)絡連接√√√√√√√√事件處理人員在確認惡意軟件事件時宜做到以下幾點。a)事件處理人員首先驗證事件源是否為惡意軟件。在事件源不能輕易確認的情況下，通常假設事件是由惡意軟件引起并采取對應響應措施，如果隨后確定不是惡意軟件引起可以更改處理措施。b)事件處理人員與網(wǎng)絡管理人員等合作，以便于確定數(shù)據(jù)來源。除了常規(guī)的數(shù)據(jù)來源，事件處理人員了解并熟練使用防火墻和路由器日志文件、郵件服務器和IPS的日志文件。c)在不產(chǎn)生額外威脅前提下，事件處理人員可以在一個被感染的正常系統(tǒng)或者一個惡意軟件測試系統(tǒng)中來研究惡意軟件的行為。d)分析人員準備一個移動存儲設備，存放最新的檢測工具(例如防病毒軟件、惡意軟件專殺工具)等，并避免該移動存儲設備被惡意軟件感染。e)一旦事件處理人員檢測了數(shù)據(jù)源，確定相關威脅的特性后，處理人員在防病毒服務提供商的惡意軟件數(shù)據(jù)庫中尋找這些特性，并以此確定具體是哪種惡意軟件?？梢詤⒖嫉膼阂廛浖匦匀缦拢?)被攻擊的服務和端口；2)被利用的漏洞；4)可能會受影響的操作系統(tǒng)、設備、應用程序等；5)惡意軟件如何感染系統(tǒng)(例如通過漏洞、錯誤的配置);6)惡意軟件如何影響被感染的系統(tǒng)，包括被感染文件的名稱和位置、被更改的配置、被安裝后門的端口等；7)惡意軟件如何傳播以及如何遏制；8)如何從系統(tǒng)中清除該惡意軟件。f)當新的安全威脅沒有出現(xiàn)在惡意軟件數(shù)據(jù)庫中時，事件處理人員參考其他信息來源以盡快做出響應。7評估和決策GB/T20985.1—2017的5.4和GB/T20985.2—2020的6.4c)中的指南適用。制定評估和決策措施時應考慮其中內(nèi)容。8響應GB/T20985.1—2017的5.5和GB/T20985.2—2020的6.4d)中的指南適用。并且，以下惡意軟件事件響應計劃、惡意軟件事件遏制、識別被感染主機、惡意軟件根除、惡意軟件事件溯源和系統(tǒng)恢復特定的指南適用。8.2惡意軟件事件響應計劃制定惡意軟件事件響應計劃時宜考慮如下因素：a)惡意軟件如何進入系統(tǒng)，以及使用何種傳輸機制；b)全面評估惡意軟件事件的傳播范圍，以及帶來的影響和損失；c)通過分析得到的其他結論，如惡意軟件的來源；d)服務對象的業(yè)務和重點決策過程；e)服務對象的業(yè)務連續(xù)性；f)確定受害系統(tǒng)的范圍后，將被害系統(tǒng)和正常的系統(tǒng)進行隔離，斷開或暫時關閉被攻擊的系統(tǒng)；g)確定惡意軟件類型(例如病毒、蠕蟲和特洛伊木馬);h)確定惡意軟件的隱藏位置；i)持續(xù)監(jiān)視系統(tǒng)和網(wǎng)絡活動，記錄異常流量的遠程IP、域名、端口；j)如果惡意軟件事件沒有被遏制，預判在接下來的幾分鐘、幾小時、幾天內(nèi)的被感染情況。8.3惡意軟件事件遏制遏制惡意軟件常用技術見附錄B,通過工具軟件遏制惡意軟件事件，宜結合以下措施：a)需停止或刪除系統(tǒng)非正常賬號、隱藏賬號并更改口令，加強口令的安全級別；b)掛起或結束未被授權的可疑的應用程序或進程；c)關閉存在的非法服務和不必要的服務；d)刪除系統(tǒng)各用戶“啟動”目錄下未授權的自啟動程序；e)使用命令行管理工具或第三方工具停止所有開放的共享服務；f)使用防病毒軟件或其他安全工具檢查文件，掃描硬盤上所有的文件，隔離或清除病毒、木馬、蠕蟲和后門等惡意軟件文件；g)在相關法律規(guī)定范圍內(nèi)設置陷阱，如蜜罐系統(tǒng)或者反擊攻擊者的系統(tǒng)；h)通過防病毒軟件等自動檢測并遏制；i)通過配置實現(xiàn)拒絕接收具有某些特性的郵件或附件，阻斷惡意軟件通過郵件傳播；j)根據(jù)惡意軟件的特性，通過防火墻、IPS或終端安全軟件遏制惡意軟件；k)暫時關閉惡意軟件使用的服務來遏制惡意軟件，清除惡意軟件后再恢復服務；1)無法使用關閉服務進行遏制的惡意軟件，可在對惡意軟件的特征進行分析后，通過重新配置網(wǎng)絡把被感染主機從網(wǎng)絡中斷開；m)事件處理人員無法遏制惡意軟件時，宜及時與專業(yè)部門聯(lián)系并獲得支持。8.4識別被感染主機常規(guī)識別被感染主機時宜結合以下工具或數(shù)據(jù)。a)惡意軟件查殺工具。如防病毒軟件、惡意軟件專殺工具、終端安全軟件等。b)網(wǎng)絡設備日志。防火墻、路由器和其他過濾設備，它們記錄了網(wǎng)絡連接活動。c)攻擊特征收集路由器(例如Sinkhole路由器)數(shù)據(jù)，它記錄了所有的網(wǎng)絡流量。注：Sinkhole路由器是通過特殊配置后，專門用來記錄攻擊流量特征的特殊路由器。d)應用程序服務器日志。如電子郵件和HTTP服務器等。e)網(wǎng)絡取證工具。如網(wǎng)絡取證分析工具和數(shù)據(jù)包嗅探器。主動識別惡意軟件宜使用如下方法。a)通過編寫本地腳本識別一些惡意軟件。b)自定義防火墻、IPS或IDS特征。制定一個自定義的防火墻、IPS或者IDS特征，可以有效檢測惡意軟件。c)包嗅探器。配置包嗅探器并尋找特定惡意軟件威脅對應的數(shù)據(jù)包，可以有效識別被感染主機。d)漏洞評估軟件。用來識別主機漏洞的軟件也可以檢測一些已知的惡意軟件。e)主機掃描器。如果某個惡意軟件在被感染主機中安裝后門，這些后門程序在運行時會使用某個特定端口，使用主機掃描器就可以有效識別被感染主機。f)其他掃描器。除了主機掃描器外，一些特殊的配置或者大小特定的系統(tǒng)文件都可能暗示主機被感染。手動識別惡意軟件宜考慮如下因素。a)主機多系統(tǒng)使得識別被感染主機非常困難。一些主機可以啟動多個操作系統(tǒng)或者使用虛擬機軟件；一個操作系統(tǒng)實例被感染時，如果目前正在使用另一個操作系統(tǒng)，那么也無法識別出來。b)漏洞未修復可能會影響準確識別被感染主機，由于系統(tǒng)存在沒有修復的漏洞時，可能會再次感染。c)一些惡意軟件會刪除其他惡意軟件的痕跡，這將導致部分或全部惡意軟件沒有被檢測到。d)在大規(guī)模惡意軟件事件發(fā)生時，利用準備階段的資產(chǎn)清單，識別被感染的主機，制定有效遏制方案。e)沒有集中管理的環(huán)境下，借助網(wǎng)絡設備來定位被感染主機。當懷疑主機被感染時，可將其從網(wǎng)絡中斷開，然后等待該用戶報告斷網(wǎng)。f)先處理確定被感染的主機，對不能確定是否感染的主機，采取事先商定的措施處理。g)向用戶提供惡意軟件相關信息和工具，如被感染的跡象、防病毒軟件、操作系統(tǒng)或應用程序補h)無法識別被感染主機，不能徹底解決惡意軟件事件時，向安全服務公司尋求幫助。8.5惡意軟件的根除8.5.1典型根除措施根除惡意軟件宜考慮如下措施。a)清理系統(tǒng)中存在木馬、病毒、惡意代碼程序。b)恢復被黑客篡改的系統(tǒng)配置，刪除黑客創(chuàng)建的后門賬號。c)刪除異常系統(tǒng)服務、清理異常進程。d)根除惡意軟件后，修復系統(tǒng)缺陷，關閉危險服務(如文件共享等)。e)如果惡意軟件無法徹底根除，則重新安裝操作系統(tǒng)、應用程序、從已知安全備份中恢復數(shù)據(jù)。f)部分感染會在數(shù)天、數(shù)周、數(shù)月內(nèi)重復發(fā)生。事件處理人員需要周期性地進行識別工作，以繼續(xù)尋找被感染的系統(tǒng)，并確保根除工作的成功實施。g)應急服務提供者使用可信的工具進行安全事件的根除處理，不得使用受害系統(tǒng)已有的不可信的文件和工具。h)根除后門等惡意軟件時，需要了解攻擊者入侵的方法，制定封堵策略，以防止被二次入侵感染。i)改變?nèi)靠赡苁艿焦舻南到y(tǒng)賬號和口令，并增加口令的安全級別。j)增強防護功能。復查所有防護措施的配置，比如安裝最新的防火墻和防病毒軟件，并及時更新，對未受保護或者保護不夠的系統(tǒng)增加新的防護措施。根除Rootkit時宜注意以下幾點：a)對感染Rootkit或者極有可能感染Rootkit的系統(tǒng)，通過重新安裝和配置操作系統(tǒng)及應用程序實現(xiàn)根除；b)一個或多個攻擊者得到系統(tǒng)管理員級別訪問權限，考慮可能感染Rootkit;c)任何人都可以通過一個后門得到非授權管理員級別訪問權限，利用蠕蟲或其他方式創(chuàng)建不安d)系統(tǒng)文件被特洛伊木馬、后門、Rootkit、攻擊工具等替換，按感染Rootkit進行處理；e)使用防病毒軟件、惡意軟件專殺工具完成根除工作后，系統(tǒng)不穩(wěn)定或者運行出現(xiàn)異常，按感染Rootkit進行處理。8.6惡意軟件事件溯源惡意軟件事件跟蹤溯源時宜注意以下幾點：a)當檢測到惡意軟件攻擊事件時，需記錄攻擊源IP、攻擊發(fā)生的時間、惡意軟件類型、被攻擊的b)通過協(xié)議分析工具進行網(wǎng)絡流量分析，查找疑似的惡意軟件命令控制服務器，然后對命令控制服務器作進一步的探測；c)在本機使用諸如進程查看工具等相關主機行為監(jiān)測分析工具，結合系統(tǒng)日志等信息，獲取惡意軟件產(chǎn)生的攻擊痕跡；d)如果獲得惡意軟件樣本，可通過靜態(tài)分析、動態(tài)調試等方法，或在沙箱中對惡意軟件樣本進行分析，獲取惡意軟件可能使用的域名、IP地址、通信端口等信息，以及其攻擊方式和執(zhí)行流程，并進一步探測其攻擊源頭；e)將上述惡意軟件相關信息，結合威脅情報、知識庫等信息，實現(xiàn)惡意軟件事件的追蹤溯源。系統(tǒng)恢復時宜注意以下幾點：a)感染惡意軟件后，如果操作系統(tǒng)功能正常，用防病毒軟件根除惡意軟件；b)對于破壞性強的惡意軟件，造成系統(tǒng)數(shù)據(jù)文件或驅動程序被刪除，處理這些事件時先重建系統(tǒng)或從一個完好的備份中恢復系統(tǒng)，隨后采取一些安全措施以保證系統(tǒng)不會再次感染；c)事件響應小組考慮可能遇到的最壞情況，并考慮這些情況下如何恢復系統(tǒng)，確定誰執(zhí)行恢復工作，估計所要花費的時間，決定恢復活動的先后順序；d)惡意軟件根除后，取消遏制措施，如果無法確定取消遏制措施后是否會被再次感染，宜繼續(xù)執(zhí)行遏制措施，直到威脅解除為止。9經(jīng)驗總結GB/T20985.1—2017的5.6和GB/T20985.2—2020的6.4e)、第12章中的指南適用。并且，以下惡意軟件特定的指南適用。惡意軟件事件處理完畢后，結合網(wǎng)絡流量、系統(tǒng)日志、Web日志記錄、應用日志、數(shù)據(jù)庫日志以及安全產(chǎn)品數(shù)據(jù)，調查造成安全事件的原因，確定安全事件的威脅和破壞的嚴重程度。根據(jù)整個事件的情況撰寫惡意軟件事件應急響應報告，文檔中闡述整個安全事件的現(xiàn)象、處理過程、處理結果、事件原因，并給出相應的安全建議。最后根據(jù)事件的處理過程總結經(jīng)驗。a)改進安全策略。例如，以.scr結尾的郵件附件常被用來傳播惡意軟件，通過更改安全策略阻止這類郵件就可以預防系統(tǒng)被再次感染。b)提高用戶安全認知，更新安全認知培訓內(nèi)容，使用戶能夠正確報告事件并協(xié)助處理事件。c)更改操作系統(tǒng)或應用程序的設置，以支持新的安全策略。d)部署新的檢測系統(tǒng)或軟件。如果原有的系統(tǒng)或軟件無法有效防御惡意軟件事件，則可以考慮更新對應的檢測系統(tǒng)或軟件。e)重新配置惡意軟件的檢測系統(tǒng)或軟件。檢測系統(tǒng)或軟件可能需要按照不同方式重新配置。例如：1)加快軟件和特征庫的更新速度；2)改進檢測的準確性(如更少的誤報和漏報);3)增加監(jiān)控的范圍(如監(jiān)控額外的傳輸機制監(jiān)控額外的文件和系統(tǒng)文件);4)根據(jù)檢測到的惡意軟件改變自動執(zhí)行活動。(資料性)惡意軟件事件處理場景A.1概述惡意軟件引發(fā)的安全事件日漸增多，惡意軟件可導致組織的信息系統(tǒng)運行異常、數(shù)據(jù)丟失和隱私泄漏等安全問題，對信息系統(tǒng)安全造成嚴重威脅。惡意軟件事件處理的實踐是提高惡意軟件事件應急處理能力和發(fā)現(xiàn)潛在問題的有效方式。在這些實踐活動中，惡意軟件事件響應小組的成員將會了解惡意軟件事件的基本情況，在面對一些相關的問題時，小組將會討論出現(xiàn)的情況并給出最理想的解決方案。這樣做的目的是明確處理人員在現(xiàn)實中遇到同樣的問題時的處理方法，并且與推薦的策略進行比較，以查明其是否有缺點和不足。如下所列出的問題幾乎適用于所有惡意軟件事件處理情況，每種情況附有相對應的問題，組織宜在應急處理實踐中考慮這些問題。A.2場景所對應的問題場景所對應的問題如下：a)準備/預防：——為了防止這種情況的發(fā)生和減小它的影響，采取了什么措施?b)檢測和分析：——這種惡意事件有哪些前兆呢?如果有的話，組織能檢測到嗎?哪種前兆將促使組織采取預防措施?——組織能檢測到哪種前兆?哪種前兆將導致人們認為惡意軟件事件可能已經(jīng)發(fā)生了?——應急處理小組怎么樣分析和驗證這類事件?——組織把這類事件向誰匯報呢?——事件響應小組如何確立處理這類事件的優(yōu)先順序?——處理小組采取什么樣的策略來遏制這類事件?這種策略比其他策略好在哪里?——如果這類事件不進行遏制將出現(xiàn)什么情況?d)事后的工作：——哪些成員要參加這次的事件的經(jīng)驗教訓會議?——為防止此類事件再次發(fā)生需要做什么?——為提高檢測此類事件的能力需要做什么?e)一般性問題：——有多少事件響應小組成員將參與處理此事件?——除了事件響應小組外，在組織內(nèi)還有什么團體或者個人將參與處理此事件?——小組將把事件報告給哪一外部參與方?每份報告什么時候出?每份報告將怎么做?——在處理此事件時小組使用什么工具和資源?——事件發(fā)生在不同日期和時間，處理的方式有何不同?——如果事件發(fā)生在不同物理地點，處理方式有何不同?A.3案例A.3.1案例1:蠕蟲和DDoS代理入侵在一個星期二早晨，一種新蠕蟲被公布在互聯(lián)網(wǎng)上。蠕蟲利用兩周前公開發(fā)布的MicrosoftWin-dows漏洞，并且相關補丁已經(jīng)發(fā)布。蠕蟲通過兩種方式傳播：a)通過電子郵件將自身發(fā)送到能找到的受感染主機的所有地址；b)找尋打開文件共享的主機并發(fā)送自身到該主機。蠕蟲為它發(fā)送的每份副本生成不同的附件名；每個附件隨機生成文件名，文件名使用的是超過十幾個文件擴展名中的其中一個。蠕蟲也會從超過100個的電子郵件主題中去選擇并找尋類似數(shù)量的電子郵件主體。當蠕蟲感染主機時，它會獲得管理權并嘗試使用文件傳輸協(xié)議從不同IP地址下載DDoS代理(提供代理的IP地址數(shù)量是未知的)。雖然防病毒軟件供應商會很快發(fā)出對這種蠕蟲的告警，但在任何供應商發(fā)布特征庫之前它傳播非常迅速。在蠕蟲開始傳播后三小時，在防病毒特征庫可用之前，組織已經(jīng)被廣泛感染。下面是為此案例設置的附加問題：a)事件響應小組如何識別所有受感染主機?b)在病毒特征庫發(fā)布之前組織如何去防止蠕蟲進入組織?c)在病毒特征庫發(fā)布之前組織如何去防止蠕蟲由受感染主機傳播?d)組織將會給所有易受攻擊的機器打補丁嗎?該怎么做?e)如果已經(jīng)受到DDoS攻擊的受感染主機在第二天早晨被配置去攻擊另一組織的網(wǎng)站，將怎樣去應對這一事件的變化?f)事件響應小組將怎樣讓用戶知道事件的狀態(tài)?如果因為蠕蟲而使電子郵件服務超負荷或者不能用該怎么辦?g)如果有的話，小組將使用什么其他措施去照看目前沒有連接到網(wǎng)絡的主機(比如旅途中的員工、偶爾撥號的外部雇員)?在一個星期日晚上，組織的網(wǎng)絡入侵檢測系統(tǒng)檢測到大量ping包，并發(fā)出可疑外部DDoS告警。雖然事件處理人員不能確定這個告警是否正確，但他們確認此告警不和任何已知的誤報相匹配。因為DDoS活動使用欺騙性的源IP地址，所以確定組織內(nèi)哪一臺或者哪些主機在進行此項活動需要花費相當多的時間和精力；與此同時，DDoS活動仍在繼續(xù)。調查結果顯示，7臺服務器大概率生成DDoS通訊。下面是此案例的附加問題：a)小組將怎樣確認組織內(nèi)哪臺主機在產(chǎn)生此通訊量?其他哪一小組可以協(xié)助事件響應小組?b)在確認產(chǎn)生此通訊量的服務器后，小組將怎樣推斷出是否服務器受到惡意軟件感染?A.3.3案例3:遠程辦公安全在一個星期六晚上，網(wǎng)絡入侵檢測軟件記錄到了一些來自內(nèi)部的探測和掃描。一些服務器的主機入侵檢測軟件也記錄了一些探測與掃描。入侵檢測分析師斷定這些內(nèi)部IP屬于這個組織的VPN服務器，并且聯(lián)系了事件響應小組。事件響應小組查看了入侵檢測記錄、防火墻、VPN服務器日志，并確定了發(fā)動攻擊的外部IP地址，被授權的用戶ID和相應的用戶名。下面是此案例的附加問題：a)假設該用戶的個人電腦已經(jīng)被下載的游戲中包含的木馬所感染。這將怎樣影響事件的處理呢?b)假設該用戶的個人電腦已經(jīng)被一個網(wǎng)絡服務蠕蟲所感染。這將怎樣影響事件的處理呢?A.3.4案例4:應用程序崩潰在一個星期一上午，該組織的咨詢服務部門收到三個用戶的求助，他們的電子表格應用程序在使用過程中反復崩潰。接下來，更多其他用戶也反映了類似的問題。大部分的用戶屬于同一組或相關的組。下面是此案例的附加問題：a)什么惡意軟件導致了電子表格應用程序的崩潰?b)為了確定崩潰是惡意軟件引起的需要采取哪些步驟?A.3.5案例5:惡意移動代碼在一個星期五下午，幾名用戶聯(lián)系咨詢服務部門，報告陌生的彈出式窗口以及在其網(wǎng)絡瀏覽器中出現(xiàn)的陌生工具欄。這些用戶的描述很相似，因此咨詢服務部門代理商認為，用戶的系統(tǒng)被同樣的東西影響，而且最可能的原因是基于Web的惡意移動代碼。下面是此案例的附加問題：a)事件響應小組如何確定什么漏洞或配置導致這種惡意代碼感染系統(tǒng)?b)事件響應小組如何確定這些惡意移動代碼來自哪些網(wǎng)站?A.3.6案例6:混合惡意軟件攻擊某組織采用了一個新的即時通訊平臺后不久，其使用者就受到廣泛的惡意軟件的攻擊，此惡意軟件是通過使用即時消息來傳播的。從安全管理員的初步報告來看，攻擊似乎是由蠕蟲引起的。然而后來的報告表明這種攻擊也涉及Web服務器和Web客戶端。即時通訊和基于網(wǎng)絡的攻擊看起來與蠕蟲有關，因為它們顯示相同的信息給使用者。下面是此案例的附加問題：a)由于惡意軟件更像是一個混合型的攻擊，那么與處理蠕蟲不同，需要采取什么樣的響應措施呢?b)組織首先控制哪種攻擊向量呢?為什么?A.3.7案例7:物聯(lián)網(wǎng)惡意軟件攻擊某互聯(lián)網(wǎng)公司安全研究團隊發(fā)現(xiàn)攻擊者利用惡意軟件VPNFilter感染了全球54個國家的超過50萬臺設備，品牌包括占據(jù)全球通信設備市場份額排名前幾位的多家知名企業(yè)。攻擊者通過被感染的路由器，向網(wǎng)絡注入惡意負載，甚至能悄悄修改網(wǎng)站發(fā)送的內(nèi)容。下面是此案例的附加問題：a)IoT設備爆出新的漏洞，事件響應小組應采取什么措施?b)遇到類似事件，如何應對?A.3.8案例8:通過云計算平臺傳播勒索軟件客戶不經(jīng)意通過云計算平臺傳播了勒索軟件，招聘人員通過電子郵件接收到的簡歷文件感染了勒索病毒，但該文件隨后被轉移到自動與云計算平臺同步的文件夾，該文件通過云轉發(fā)到組織內(nèi)其他用戶。在該簡歷文件被用戶打開后，勒索軟件會執(zhí)行并加密每個設備或系統(tǒng)。它不只是感染最初的用戶，還會快速蔓延到其他連接到云同步服務的用戶和終端。導致用戶的大量主機、服務器被加密、業(yè)務系統(tǒng)癱瘓。下面是此案例的附加問題：a)遇到類似事件，事件響應小組應采取什么措施?b)如何阻止惡意軟件進入云服務?c)如何阻止惡意軟件在云計算平臺內(nèi)無限制地傳播而進入云服務?A.3.9案例9:勒索軟件的處理2018年2月，某三甲醫(yī)院遭遇勒索病毒攻擊，全院所有的醫(yī)療系統(tǒng)均無法正常使用，正常就醫(yī)秩序受到嚴重影響；同年8月，某半導體制造公司的三處重要生產(chǎn)基地，均因勒索病毒入侵導致生產(chǎn)停擺。此案例的附加問題為：當業(yè)務系統(tǒng)出現(xiàn)無法訪問、生產(chǎn)線停產(chǎn)等現(xiàn)象時，是否能100%確定是服務器感染了勒索病毒?(資料性)遏制惡意軟件常用技術本附錄總結了各種能有效遏制惡意軟件事件的常用技術，提供了每種技術在應對不同類型惡意軟件和攻擊工具時的效果。為了便于描述，表B.1將各種環(huán)境分為兩大類(可控環(huán)境和不可控環(huán)境),將各種威脅分為兩大類(簡單和復雜)。a)可控環(huán)境。指一個或多個關鍵群體可以控制整個組織內(nèi)的服務器和工作站的操作系統(tǒng)以及應用程序配置。這使得在最初部署系統(tǒng)和提供支持、維護時，能夠有效實施安全措施，并且使得組織內(nèi)部能夠保持一個持續(xù)的安全態(tài)勢。b)不可控環(huán)境。指系統(tǒng)所有者和用戶只能控制各自的系統(tǒng)，通常使用的是管理員權限。盡管系統(tǒng)最初可能使用組織的標準配置，但系統(tǒng)所有者和用戶可以更改該配置，這將減弱其安全性。c)簡單威脅。簡單威脅只擁有幾個簡單的特征。例如，某個大規(guī)模郵件蠕蟲只是使用固定的主題并且附件名只有三個固定的名稱，那么這個蠕蟲就是一個簡單的威脅。如果一個后門只使用一個固定端口號并且只和固定IP地址通信，這個后門也算是一個簡單威脅。d)復雜威脅。復雜威脅可能有成百上千種特征；有些復雜的威脅甚至會隨即產(chǎn)生一些特征。例如，某大規(guī)模郵件蠕蟲使用50個主題和50個文件名，并隨機產(chǎn)生發(fā)送者地址、郵件內(nèi)容和附件大小。還有一個例子是惡意移動代碼，該代碼從一個巨大的列表中選擇IP地址并下載其負載。比起簡單威脅，復雜威脅通常更難遏制。表B.1提供的是在可控環(huán)境中處理簡單威脅的向導。表B.1不同環(huán)境下遏制技術的效果對比技術簡單威脅，可控環(huán)境不可控環(huán)境下的顯著差異復雜威脅的顯著差異安全工具區(qū)域邊界防病毒設備能夠非常有效地阻止所有企圖通過網(wǎng)絡監(jiān)控點(例如網(wǎng)絡防火墻)的已知類型惡意軟件；能有效阻止一些未知惡意軟件防病毒軟件能非常有效地阻止企圖感染主因為一些主機可能使用了過期的、配置錯誤、或功能被禁止的防病毒軟件，或者沒有安裝防病毒軟件惡意軟件專殺工具(通?；谥鳈C)能非常有效地阻止企圖感染主機(例如，個人電腦、服務器)的已知特定類型惡意軟件；能有效阻止一些未知類型惡意軟件因為一些主機可能使用了過期的、配置錯誤、或功能被禁止的防病毒軟件，或者沒有安裝防病毒軟件網(wǎng)絡入侵防御系統(tǒng)能有效阻止大部分企圖通過網(wǎng)絡監(jiān)控點(例如IPS)的已知類型蠕蟲；某些情況下，可以有效阻止未知蠕蟲；能有效識別和阻止使用后門 檢測準確率很低，如果威脅具有隨機特征，通常無法有效檢測技術簡單威脅，可控環(huán)境不可控環(huán)境下的顯著差異復雜威脅的顯著差異終端安全軟件有時能有效阻止企圖攻擊主機出企圖更改關鍵系統(tǒng)文件的惡意軟件主機可能使用過期、配置錯誤、或功能被禁止的防病毒軟件，或者沒有安裝防病毒軟件；如果軟件配置錯誤，也會降低檢測的準確性檢測準確率很低基于網(wǎng)絡的垃圾郵件過濾能夠非常有效地阻止利用郵件傳播的已知惡意軟件檢測準確率很低，如果威脅具有隨機特征，通常無法有效檢測基于主機的垃圾郵件過濾能夠非常有效地阻止利用郵件傳播的已知惡意軟件效率不高，因為一些主機可能使用了過期的、配置錯誤、或功能被禁止的防病毒軟件，或者沒有安裝防病毒軟件檢測準確率很低，如果威脅具有隨機特征，通常無法有效檢測基于網(wǎng)絡的Web內(nèi)容過濾能有效阻止基于Web的已知惡意軟件通常效率較低，因為檢測準確率很低基于主機的Web內(nèi)容過濾能有效阻止基于Web的已知惡意軟件效率不高，因為一些主機可能使用了過期的、配置錯誤、或功能被禁止的防病毒軟件，或者沒有安裝防病毒軟件通常效率較低，因