|
|
建议的处理方式
对于此类问题,安全软件供应商们给出了什么样的建议?他们提供了一类称之为“终端保护”的软件,有几家甚至认识到这里存在的商业机会:举例来说,基石公司的联系页面就使用了“911紧急响应”的抬头。他们还提供了一系列的免费工具。在适用于Windows系统的反恶意软件工具包还可以包含Sysinternals的PsTools工具套件,你可以从微软技术网络上免费下载(尽管作者马克·鲁西诺维奇指出:由于这些工具也被某些病毒使用,这样做的后果可能会触发防病毒警告,)。采用Sysinternals Handle和进程浏览器可以给处理过程带来很大的帮助。
开始反击
我记得就在几分钟前,还可以利用HTC Touch 2手机上的浏览器来查找感染来源,计划处理方案。在浪费了一些时间浏览过几个没有什么帮助的页面后,我确定了恶意软件的具体种类,在间谍软件超级防护网站上找到了关于怎样解决该问题详细清晰的说明,并且发现了一个由MalwareBytes提供的非常优秀的企业级反病软件安装包。
在成功地清除掉恶意软件后,我去参加了当天的会议。我提醒自己,对于零日攻击来说,处理过程并不是那么简单的。如果多台工作站或者一两台服务器在工作的时间受到攻击,采用更加系统规范的处理模式是非常有必要的。在经过更复杂的风险分析后,我发现,建立一支经过培训可以充分有效地执行感染处理措施的应急处理队伍是非常有必要的。并且认识到,对于企业来说,无线网络电话是一项非常重要的资产。关键命令甚至二进制文件都可以通过短信或移动Skype之类的方式进行传播。
这次会议是以一场基于联邦紧急事务管理局标准的桌面紧急响应演习而结束的。
桌面系统恶意软件应急处理七要诀
#1充分了解存在的风险
遵循应急处理业的希波克拉底誓言:不要增加损害。换句话说,就是不要让情况变得更糟。对恶意软件进行分析评估,判断它是需要被立即删除,还是关闭机器,在受到控制的环境里进行处理。充分考虑到数据面临的风险和设备的实际需求,从中找到最佳的处理措施。
#2随身携带支持网络功能的智能手机
对数据项目进行投入。作到可以熟练地使用移动浏览器,掌握其大部分功能。将书签信息保存起来。大部分手机都可以支持保存了额外应急软件的闪存卡。
#3随身携带大容量(USB接口16GB容量)的记忆棒
至少携带一个大容量的USB存储设备,将最经常使用的安全工具保存在上面,更好的方法是利用Slax之类的Linux小型发行版本建立包含安全工具的完全可引导操作系统。
#4对攻击进行更广泛的检查
确定恶意软件针对你运气不好的笔记本计算机进行的是普通攻击,还是仅仅属于佯攻:可以利用通常的补救措施来进行处理,比让最初的攻击获得成功更需要得到重视。
#5进行灾难恢复演习
即使在本次攻击中,你有幸避免遇到数据丢失的后果,了解进行灾难恢复时可以采取的处理措施,依然是非常有必要的。并且,它们需要经常进行更新。
#6经常更新书签
在网络安全类网站上经常包含了一些发人深省的经验,对于应急处理来说,它们非常有价值。因此,应该经常更新手机上的书签。
#7及时进行事后总结并记录进书面文件
在军事领域,它被称为“事后总结”或者AAR。在清理完恶意软件消除了带来的损害后,你应该利用工具对整起事件进行分析总结,并建立容易访问的书面文件。将整个事件的详细过程记录下来。以确保首席执行官在到国会小组委员会作证前,不会遇到相同的困扰 |
|
发表于 2012-3-29 14:29:08