黑客安全专家郭盛华：逃避僵尸网络恶意软件攻击的13种方法

网络罪犯是忙于创新的人，正在调整他们的武器和攻击策略，并且无情地漫游网络以寻找下一个高分。敏感信息的每种方式，例如机密的员工记录，客户的财务数据，受保护的医疗文件和企业私密文件，都面临着对网络安全的无情威胁。

为了成功防御黑客，蠕虫病毒和恶意软件（如僵尸网络攻击）的严重威胁，网络管理员需要使用适合全面网络防御策略的所有工具和方法。在上述提到的威胁网站所有者安心的所有威胁中，僵尸网络可以说是最令人不安的安全风险形式。它们不仅仅是恶意的网络犯罪分子的成就。

它们是最先进的网络技术。关于他们，最令他们困扰的是他们的隐身能力，潜伏在寻找漏洞以进行无形利用的潜伏能力。

僵尸网络如何工作？

教父级网络黑客安全专家、东联科技董事长兼CEO郭盛华曾透露：“激增的僵尸网络不是更直接的战略黑客武器之一。僵尸网络是微妙的数据提取恶意软件。他们渗透到网络中，未经授权访问计算机，并允许恶意软件继续运行而不会给用户造成干扰，同时他们窃取数据并将其集中到受害网络之外并进入“僵尸程序”，从而在整个过程中逃避检测。”

您可以做什么来阻止僵尸网络？

网络防御的第一线必须由人来操纵，真正的人在计算机上工作，在办公室中执行日常任务。应对不断发展的威胁的最佳防御方法是教育作为犯罪者主要目标的用户。这些特定的前线涵盖了从电子邮件到社交媒体的各种网络交互。建议实施一种策略，该策略应结合您组织的实际情况，将以下许多方法（从一些基础知识到更复杂的解决方案）纳入考虑范围：

1.开发强大的系统来捕获和阻止欺诈性电子邮件

商业电子邮件泄露是一种常见的攻击策略，它有自己的缩写，并且BEC骗局事件的数量持续增加。这种攻击很难防御。

BEC检测和消除的解决方案需要有效的分类和策略，以阻止可疑电子邮件发件人，内容和附件。

安装防御网关Web工具（例如WebSense，McAfee），以帮助阻止从不良来源接收电子邮件，并阻止将请求发送到被认为可能是恶意软件来源的地址。

2.建立对BEC的勤奋防御文化

据报道，社交操纵是犯罪分子对电子邮件帐户发动攻击的最常用方法之一。他们很早就发现，单击电子邮件附件对于许多忙碌的用户来说是一种反映。因此，通过以下方法增强系统的安全性：

即使您的组织有正式的政策，也希望用户打开电子邮件附件，将其埋葬在手册的某个地方（也许是在单击之前进行思考，然后更突出地宣传该政策）。

向员工提供培训和频繁更新有关他们选择的选项的信息，以帮助提高网络安全性，例如，使用强密码。教用户如何获得帮助以及如何使用实时解决方案来隔离和避免利用网络用户的各种攻击。教用户勤于举报可疑电子邮件。在您的培训中包括电子邮件攻击和模拟的示例，以帮助人们学习识别攻击，并为帐户似乎最容易受到攻击的用户提供额外的支持。

3.切换到手动软件安装

这可能是不受欢迎的建议，但是某些组织应根据其威胁状况通过自动运行功能禁用软件的自动安装。禁止自动运行软件自动安装软件可以帮助防止计算机的操作系统从未知的外部源不加选择地启动不需要的命令。

4.启用Windows防火墙

安装Windows防火墙对于防止传入安全威胁的基线保护至关重要。用户可能想要禁用Windows防火墙，以防止其阻止他们要建立的网络连接。如果您的联网计算机具有替代的适当防火墙保护，则最好或什至有必要禁用Windows防火墙。关键是要适当配置防火墙保护。

5.网络内的区划

考虑网络隔离。在当今的工作环境中，许多（也许是大多数）计算机站必须每天在部门之间相互通信。但是，限制或消除不需要这种广泛访问权限的计算机的功能可以大大帮助阻止僵尸网络在整个网络中传播。对其他可能：

通过形成虚拟局域网（VLAN）将网络的风险降至最低。使用访问控制列表（ACL）筛选器可以限制对对象的访问并限制威胁的暴露。

6.使用数据过滤

僵尸网络恶意软件通常通过与至少一台远程命令与控制服务器建立交互来起作用，黑客还利用这些服务器非法提取敏感信息。要阻止恶意互动并阻止犯罪活动，请对离开网络的信息使用数据过滤。一些可行的方法包括：

可以应用出口内容过滤工具，以迫使组织的网络流量通过过滤器，并防止信息退出组织的网络。数据丢失防护（DLP）解决方案还可用于监视未经授权的访问和破坏，以防止它们泄露信息。

7.打破域信任关系

消除对密码的信任，以重新获得对本地帐户的更严格控制。谨慎控制本地管理员帐户对于切断威胁并消除威胁至关重要。禁用计算机的自动互连功能会关闭僵尸网络用于通过内部网络传播的路由。

在某些或许多计算机包含高度敏感数据的网络中，这可以提供一种安全的替代方法来防御僵尸网络攻击。

8.采取其他预防措施

设置额外的保护层，以帮助防止僵尸网络在您的系统中进入自己的网络，例如，重点在于加强网络的支持，例如在某些特别脆弱的特定接触点，例如来自某些硬件或软件组件的路由。

请记住以下几点：

基于主机的入侵检测系统效率极高，但是它们也很昂贵，通常很难成功部署。这些工具无法纠正操作系统中的差距或其他现有技术缺陷。

9.增强和增加网络监控

密切监视网络，有关已连接用户在组织内的运行方式的信息，可显着提高网络防御解决方案的能力。僵尸网络或其他恶意软件入侵开始后，对所有事物和每个人通常如何交互的更深入的了解将使快速检测异常活动变得更加容易。

理想情况下，应该采用24小时监控网络活动的策略，即使用数据收集工具来检测异常行为并阻止渗透到系统的尝试。考虑为远程网络安全服务定价，以提供范围和质量更高的网络监控设备和专业知识，这可能超出内部IT设施和/或仅员工就可以提供的全天候服务。

10.使用代理服务器控制网络访问

创建一个可以监控互联网访问的支持出口点，可以加强监控力度。通过代理服务器路由出站信息可以阻止网络犯罪分子绕过网络安全性的尝试。对于大多数网络，通过代理服务器过滤内容是一种实用的选择，尽管当然，停止每一点可能有问题的出站信息可能并不现实。

11.应用最低特权原则

一般而言，访问权限应基于用户功能的需求。管理员与特定工作站的用户不是同一个人，这使得通过下载来传播恶意软件变得更加困难。

这也使得使用“自动运行”策略来利用系统变得更加困难。这进一步使作案者通过利用用户的网络帐户凭据将恶意软件从一个渗透的计算机工作站传播到另一个计算机工作站，将更具挑战性。

12.监视对域名系统查询的响应

维护对工作站对DNS服务器的查询的监视是识别僵尸网络渗透症状的一种极好的方法。例如，监视低生存时间（TTL）。

TTL值异常低可能表明僵尸网络渗透。通过仔细监控低TTL，您的系统管理员可以采取措施来抵抗攻击并在感染蔓延之前消除僵尸网络。

13.随时了解紧急威胁

让您自己和您的IT团队了解开始席卷整个地区的新的本地，国家和全球网络威胁。例如，据报道，使用电子邮件中的URL渗透到内部网络的网络罪犯的发生率比犯罪者使用附件高得多。更广泛地说，在过去一年中，内部网络成功窃取信息的百分比是僵尸网络的使用。与时俱进的最新消息是网络管理专业人员必须始终维护的第一项活动，以有效保护组织系统。

更安全地前进

黑客安全专家郭盛华表示：“为了保护信任您的敏感个人信息的人，保护组织免受责任并保护品牌声誉，您需要全方位地捍卫。使用以上以及其他策略，方法和工具来确保您有效地防御通过电子邮件，移动访问点，社交平台和任何其他媒体进行的网络攻击。”

如前所述，僵尸网络现在占网络犯罪的很大比例。使用上面讨论的方法可以帮助构建一个可以针对任何网络预算和规模进行扩展的强化网络安全框架。（欢迎转载分享）