四、如何防范新型僵尸网络攻击
1、保持警惕
这项建议看起来似乎无关紧要。不过,虽然经常告诫IT管理员注意安全防范,但是他们却从未看过系统日志,他们也不会告诉你有谁在链接网络,甚至不知道有哪些设备链接到了网络。
2、提高用户意识
个人用户具备更多的安全意识和基本知识,非常有利于减少各类安全事件的威胁。个人用户防范Bot与防范蠕虫、木马完全没有区别。目前已经发现的绝大多数Bot针对Windows操作系统。对个人Windows用户而言,如果能做到自动升级、设置复杂口令、不运行可疑邮件就很难感染Bot、蠕虫和木马。90%以上的恶意代码利用几周或几个月之前就公布了补丁的漏洞传播,及时升级系统可以避免多数恶意代码的侵袭。
3、监测端口
两方面的建议:
即使是最新bot程序通信,它们也是需要通过端口来实现的。绝大部分的bot仍然使用IRC(端口6667)和其他大号端口(比如31337和54321)。1024以上的所有端口应设置为阻止bot 进入,除非你所在组织给定某个端口有特殊应用需要。即便如此,你也可以对开放的端口制定通信政策“只在办公时间开放”或者“拒绝所有访问,除了以下IP地址列表”。
Web通信常需要使用80或者7这样的端口。而僵尸网络也常常是在凌晨1点到5点之间进行升级,因为这个时候升级较少被人发现。养成在早晨查看系统日志的好习惯。如果你发现没有人但却有网页浏览活动,你就应该警惕并进行调查。
4、禁用JavaScript
当一个bot感染主机的时候,往往基于web利用漏洞执行JavaScript来实现。设置浏览器在执行JavaScript之前进行提示,有助于最大化地减少因JavaScript而感染bot的机会。我们建议用户使用Firefox当主浏览器来使用,当有脚本试图执行时可以使用NoScrip plug-in39。
5、多层面防御
纵深防御很有效。如果我仅有能过滤50%有害信息的单个防御工具,那么效果可能只有50%;但如果我有2种不同的防御工具,每个都50%的话,我就可以得到75%的防御效果(第一个防御工具可以过滤50%,剩下50……;第二个防御工具可以过滤剩下的50%的一半,剩下25%)。如果我有5个防御工具每个都是50%效果的话,我将获得将近97%的效果。如果要获得99%的理想状态,我们需要4个防御工具分别达到70%效果的才能实现。
6、安全评估
一些著名厂商都会提供免费的安全评估工具和先进安全产品免费试用。在评估和试用结束的时候,他们都会报告你公司所面临的不同类型的安全风险和安全漏洞。这有助于让你评估当前的安全解决方案是否有效,并且告诉你接下来该采取怎样的安全措施。