再也不做“肉雞”管理員，幹好這5項工作

在這個網際網路資訊大爆炸的時代，企業對IT管理員的要求越來越高，一不小心，各種“密碼洩漏事件”、“DDOS攻擊事件”就會層出不窮，嚴重影響企業的發展。如果你不想成為“肉雞”管理員，那麼請幹好下面的5項工作：文件化、診斷、限制、清除、補丁更新。

1. 文件化

如果你要有效地管理IT風險，需要有完善的事件響應流程。行動計劃的缺失可以說是有效安全響應的最大障礙。馬上開始制定積極的預防措施來儘量減少惡意軟體攻擊的潛在影響。如果要讓你的組織具備處理被殭屍網路劫持的能力，那麼一個對不同終端，網路訪問，資料管理以及未知使用者都有詳細定義的好的計劃是相當有必要的。

2. 診斷

俗話說，治病一半的功勞在於診斷。所以，感染點在哪裡?這是一個對於惡意軟體來說價值$ 64,000的問題。

使用加密，快速DNS變更的方式進行攻擊稱之為“Fast Flux服務網路”，很多典型的殭屍網路和C&C程式碼都是使用這種方式穿梭在傳統的安全控制雷達之下的。這就是為什麼沒有合適的工具就難以檢測殭屍網路。但如果你能找到惡意軟體發起的主機，一定要加緊調查並儘量控制範圍。提示：Windows客戶端被感染的可能性比較大，但也可能是你的Windows伺服器。

使用微軟的Sysinternals工具是一個好的開端。需要特別小心的是注意在有嫌疑的機器上輸入的任何密碼，以及從這裡訪問的其它系統等。對於像Wireshark之類的網路分析工具，OmniPeek還可以提供額外的檢視以檢視網路層面發生的事情，這種更高階別的檢視將讓管理員受益匪淺。

此外，你最終可能需要從Damballa和FireEye這樣的供應商那裡獲取更先進的技術，以有效地追蹤惡意軟體感染和進行肉雞移除。

3. 限制

如果你足夠了解惡意軟體的感染，可以運用一些應急的網路訪問控制列表或防火牆規則來阻止惡意軟體的入站或出站網路流量，直到將它們清理掉。

你還可以採用白名單的方法，加上本地策略或組策略作為基本工具來對抗惡意軟體感染，更可以使用Bit9提倡的“積極安全控制策略”作為高階工具進行對抗。

4. 清除

只是執行一個簡單的防病毒掃描是無法將肉雞移除的。你甚至無法檢測到惡意軟體的異常行為。即使可以檢測，惡意程式碼也往往與作業系統/登錄檔相互交織，使主流的防毒軟體不知道如何進行處理。

你所能做的最好的措施之一就是執行多個反惡意軟體工具，尤其是像Webroot和Malwarebytes這樣的對更高階威脅相對了解的工具。你也可能除了重新安裝作業系統之外毫無選擇。

此外，在重新安裝作業系統時，還要注意資料丟失的風險。在我處理過的專案中，幾乎沒有任何內部安全評估，也沒有找到位於工作站上的敏感資訊的備份副本。

5. 補丁更新

對於惡意軟體的感染，最大的敵人莫過於使用者沒有對Java、Adobe和相關的第三方軟體進行定期更新。其次是Windows XP即將退休。

問題是，對企業的系統進行更新可以消除威脅，至少可以防止惡意軟體的傳播。所以現在需要開始考慮第三方軟體的補丁管理問題，以至於在真正出現問題時你可以有所防備。