|
網絡技術是從1990年代中期發展起來的新技術,它把互聯網上分散的資源融為有機整體����,實現資源的全面共享和有機協作�����,使人們能夠透明地使用資源的整體能力并按需獲取信息。資源包括高性能計算機、存儲資源�����、數據資源�、信息資源、知識資源、專家資源、大型數據庫�、網絡����、傳感器等��。 當前的互聯網只限于信息共享���,網絡則被認為是互聯網發展的第三階段���。 你被黑了:第三階段――恢復
Lawrence Abrams:使用補丁管理工具和人工干預�,確認所有的計算機已經安裝了防病毒軟件�、間諜軟件清除軟件和最新的Windows Update。每一臺電腦不僅需要用防病毒軟件武裝起來,還需要安裝至少兩種反間諜程序。
Kevin Beaver:如果沒有進行正式的調查,那么此時關心的主要事情是將機器重新接入網絡時���,確保它是干凈的。這些可能包括使用知名的恢復工具進行恢復,或者在脫離網絡的情況下��,啟動此臺計算機�,然后運行不同的工具,比如反間諜軟件、反病毒軟件、Rootkit檢測/清除工具���、TCP/UDP端口映射工具、具有應用程序防護的個人_blank">防火墻軟件等,來確認它是干凈的��。
同時����,更改任何可能存儲于本地系統的密碼(Windows的、AIM的,等等)�。一旦機器被清理干凈�,在將它放回網絡之前�,你就能夠在它上面安裝一個網絡分析工具(這方面商業軟件Sniffer――http://www.networkgeneral.com/或EtherPeek――http://www.wildpackets.com/更適合�,也更容易使用)。
下一步要做的是開始抓包�,或者至少監控協議和連接����,以確認沒有令人懷疑的或惡意的東西繼續出現在網絡中��。
Tony Bradley:假設在電腦和網關以及主DNS服務器之間的ping正常�����,我將對外部的Web站點進行tracert,以確定到底通信在哪里發生了問題����。假設所使用的系統為Windows操作系統��,我將檢查事件、系統和安全日志��,以找到相關的信息和可疑活動的證據���。顯然�,使用Netstat掃描發現的端口直接調查。我將使用Google搜索那些可疑的端口號���,以辨認是否有使用這些特殊端口的知名的特洛伊木馬、后門程序或其它的惡意程序���。
你的反應����,包括初始反應和長期反應�,以來與你所在公司的策略和你自己的能力。許多功能的策略只是簡單的重新格式化或重新鏡像一臺機器�����,這看起來是一種折中的辦法�,這樣做實際上保證了將問題移除――至少短期內能夠移除�����。
如果需要進行更為滲入的法庭調查���,則此臺機器必須進行隔離��,并且要將它的磁盤創建一個鏡像。但是��,做到這些需要考慮人力�����、設置和時間資源���,你找到的結果與花費在找它們的投資上的對比���,可能并不值得�。
你被黑了:第四階段――預防
Lawrence Abrams:一定要使用補丁管理系統保證電腦補丁的及時性和最新性���。而不定管理系統允許登錄到網絡上的遠程用戶獲得最新的補丁��,并在它們的計算機上安裝�����。
另外,還需要購買內容過濾設備�,比如_blank">防火墻��。這類設備允許你過濾安全威脅���、垃圾郵件和那些知名的帶有惡意程序的Web站點���,它們還會在某臺機器執行端口掃描或其它不正常行為時����,向你發出警告。
每夜或每周進行反病毒和反間諜掃描也一定要安排在時間表內。間諜軟件和病毒已經成為可交換的具有相等威脅的兩個不受人喜歡的東西�����。為已知的端口創建_blank">防火墻存取規則在你的網絡上特別有用����,比如為Internet多線交談(Internet Relay Chat,_gci214040,00.html">http://searchwindowssecurity.techtarget.com/sDefinition/0,290660,sid45_gci214040,00.html)創建規則。這將允許你在機器受到感染后,通過檢查_blank">防火墻日志�����,快速找到可能出現問題的點�����。
Kevin Beaver:一些實用措施將能夠鞏固每一個用戶工作站的安全��,這些措施包括組策略,當用戶接入網絡時實用集中的補丁管理,實施一個安全策略,培訓用戶在遠程工作時如何打上他們應該打的補�。ú皇且粋好選擇�����,但總好過什么都不做)�。同樣���,你肯定想安裝反間諜軟件�、反病毒軟件和帶有應用程序防護的_blank">防火墻軟件����,譬如BlackICE(_MAIN.Entry10?V1=253470&PN=1&SP=10023&xid=26412&CID=0&DSP=&CUR=840&PGRP=0&CACHE_ID=0">http://www.digitalriver.com/dr/v2/ec_MAIN.Entry10?V1=253470&PN=1&SP=10023&xid=26412&CID=0&DSP=&CUR=840&PGRP=0&CACHE_ID=0)、Zone Alarm(http://www.zonelabs.com/store/content/home.jsp)等等。這些組合化的措施將給你一個相對健壯的環境���,是一種很不錯的解決方案。
Tony Bradley:在預防未來的問題方面,你可以采取一個廣泛的主動的方案��,這也以來于你最終想解決的問題到底是什么��。
建立策略和使用工具�,確保遠程和移動用戶能夠接收到他們的病毒更新���,以及他們需要的補丁程序����������;谥鳈C的入侵預防系統和個人_blank">防火墻軟件同樣能夠幫助這些用戶遠離未來的攻擊。
網絡的神奇作用吸引著越來越多的用戶加入其中���,正因如此,網絡的承受能力也面臨著越來越嚴峻的考驗―從硬件上����、軟件上��、所用標準上......,各項技術都需要適時應勢,對應發展,這正是網絡迅速走向進步的催化劑��。
|
