處理惡意軟件的六個步驟牛

撕心裂肺地哭喊 負責安全維護者的人員，都會盡可能做好事先防范－比方安裝軟件更新、進行入侵測試、以及管理權限等等。不幸的是，有時候所有的防護性措拖都無法保護你的系統免于病毒、蠕蟲或其他類型惡意軟件的感染。

過去我曾寫過一篇關于建立安全災害對應政策重要性的文章，里面有講到當安全災害發生之后，應該采取的一些步驟。然而每個安全問題的規模與目標卻差異甚大。雖然有整體對應政策是絕對必要，但實際的安全災害處理方案應該要視個別問題來決定。

本文重點：持續增加的惡意軟件感染威脅。惡意軟件感染處理方案的關注焦點，并不是主動攻擊行為；而是系統加載的軟件。

什么是惡意軟件？

惡意軟件是惡意的程序代碼，或是偷偷安裝在系統內的軟件，它們會影響到絡上數據或程序的安全性、整合性或是使用性。惡意軟件可能造成絡的嚴重損害或斷線，需要花費大量的努力來回復系統的安全與用戶的信任

我們可以把惡意軟件的威脅區分為五大類。以下是簡單的描述：

病毒：會自我復制的程序，會將自己的副本插入寄生的程序或數據文件中。病毒同時會攻擊操作系統與應用程序。

蠕蟲：會自我復制，不經使用者啟動就會自行執行的獨立程序。蠕蟲感染系統時不需要寄生程序。

特洛依木馬：這是不會復制的獨立程序，它看似無害但實際藏有惡意用途。特洛依木馬通常會將其他的攻擊程序帶入系統。

惡意遠程程序：這類含有不良意圖的軟件會從遠程系統傳數據到本地端的系統。入侵者用它把病毒、蠕蟲與特洛依木馬傳送到用戶的計算機中。惡意遠程程序利用默認權限與未做升級的漏洞入侵計算機。

追蹤Cookie：這些被許多站使用的Cookie，可以讓第三者記錄用戶的行為。入侵者通常會把追蹤Cookie與頁臭蟲一起結合使用。

以上是對公司的用戶與絡造成威脅的惡意軟件主要分類。他們入侵成功以后要怎么辦？有效的惡意軟件處理步驟有下列六點：

事先規劃：建立針對特定惡意軟件的處理流程與計劃。針對某類惡意軟件進行訓練與演練，來測試你的流程與計劃。在實際需要使用時，要確定你的計劃能成功執行。

偵測與分析：布署病毒／間諜軟件防護程序軟件。詳讀惡意軟件的報告與警告信息。在CD或DVD之類的可攜儲存媒體上，建立工具程序組，含有可以辨認惡意軟件，掃描執行中程序與進行其他分析動作的最新版工具軟件。

抑制擴散：為了防止惡意軟件災難的影響范圍擴大，必須要關閉服務器／工作站或停止一些服務（如電子郵件、上瀏覽或絡存取）。因此要決定好誰有這個權限來根據惡意軟件的活動情況作出決定。早期的抑制可以讓惡意軟件的擴散停止，同時防止公司內部與外部絡更嚴重的系統損害。

徹底移除：矛須事先準備好在系統上移除各種惡意軟件需要的各類技術。

回復運作：回復被感染系統上數據的可靠性，整合性與可用性，同時回復被抑制的服務與功能。這步驟可能包括重新將系統連上絡，從備份中重建被毀的系統。回復工作小組應該要評估重建后絡服務的安全風險，同時服務回復工程的進行，必須基于這些風險評估來考慮。

回報：在每次惡意軟件災害發生后要學到教訓，防止未來類似問題的發生。調整既有的安全政策、軟件設定、以及惡意軟件偵測與防范的措施。

結論　在對付惡意軟件災害時，你就算裝了市面上所有的防護軟件，還是有可能會出事！因此必須要對使用者作好教育，讓他們知道如何知道受感染，以及在被感染時要進行哪些處理。

編按：Mike Mullins在美國情報單位與國防信息系統局擔任絡助理管理員與絡安全管理員。他目前是Southern Theather絡運作安全中心的負責人。