确定蠕虫如何在网络中传播

确定蠕虫如何在网络中传播

我们的网络存在蠕虫感染问题。我已经清除了所有蠕虫并采取了适当措施。

我想知道您如何确定蠕虫是如何在网络中传播的。

谢谢,

加里……

非常感谢大家提供的这些有趣的文章.....我的基本问题是,如果你无法获得蠕虫的样本,你如何确定蠕虫如何传播?我已经从我的系统中清除了蠕虫,但没有蠕虫的样本...

通过查看安全策略和日志我们可以知道蠕虫是如何在网络中传播的。??

再次感谢,

加里

答案1

您的请求缺乏详细信息,具体来说,您感染了哪种蠕虫,在病毒爆发之前您的安全策略是什么,以及“采取了适当措施”是什么?

首先,我会检查自己的安全策略是否存在漏洞或问题。如果我没有安全策略,我就会放弃弄清楚我是如何受到攻击的,并认为这是我自己的错,因为我没有制定可靠的安全策略(我甚至为我的家用机器制定了安全策略,虽然没有成文,但我会严格遵守,而且 5 年多来我从未无意中受到病毒攻击)。

其次,我会寻找没有遵守安全策略的地方。我会在服务器、PC 和路由器上使用日志/事件查看器,直到对发生的事情有了很好的了解,在多用户环境中,我会尝试向最先注意到爆发的用户询问几个问题,并清楚地告诉他们没有遇到麻烦(假设我被允许拨打电话),他们的帮助很重要。我可能会根据这里收集的信息采取几个步骤。

第三,我会更新安全策略或执行情况,这样就不会再发生这种情况了。这可能意味着要更及时地安装更新,在服务器或 PC 上添加防病毒软件,加强防火墙规则,甚至教育用户下载笑脸包是个非常糟糕的想法。此时,我还会确定是否应该打电话给当局。很多时候我都没有联系到任何人,有两次我向当局上报了。

最后,我会持续审查安全政策,检查其执行是否有效。我会使用各种非侵入性方法来做到这一点,并且每当出现侵入性问题时,我都会向相关人员说明,并且我会始终清楚成本与收益(过度的安全措施不会妨碍那些试图开展工作的人)。

我知道这很模糊,但这就是我的做法。我通过这种方式成功地识别了一些威胁,并保护了我合作的团队免受更多威胁。我错过了更多,但我利用它们作为改进系统和工作流程的机会。我也知道,有了良好的安全策略,人们就可以做到这一点理论上不可能被黑客入侵/感染,即使使用多台 Windows PC 或其他被认为不安全的平台。现实完全不同,因为事情永远不会完全按照计划进行。这个想法是让理论和现实相遇的灰色区域足够安全,以防止所有大问题,并且足够可用,让人们和系统能够工作(或玩耍或实现任何目标)。

答案2

如果您知道蠕虫的类型(通过您首选的消毒工具),您将能够找到/谷歌有关该蠕虫/病毒如何传播的信息/文档。从那里,您应该考虑标准化保护方法适用于您的客户端和服务器(如果您还没有的话)。

我希望您没有想过要追踪蠕虫是如何通过您的网络客户端传播的。这项任务非常耗时,难度极大,甚至不可能完成。

答案3

我担心这不会像你想象的那么简单。至少,你的网络现在与你被感染时的情况不同,所以你做的任何调查都不太可能得到有效的结果。其次,许多恶意软件可以非常善于掩盖自己的踪迹(许多恶意软件也可以非常糟糕……),所以你首先依赖于已记录的相关信息。

因此,您的方法是确定蠕虫是什么,了解其传播方式,并合理地假设它在您的网络中就是这样传播的。不过,我猜您更感兴趣的是它是如何进入的,这样您就可以确定将来的大门是关闭的。这很可能是以前最喜欢的一种:以管理员权限运行的用户、不受控制的 USB 设备访问、不安全的 Web 访问、使用较旧的软件、过时的 AV、未能及时更新安全补丁、防火墙或网关配置不良等等。其中之一可能会让您想起什么,AV 供应商网站的信息将证实这一点。

相关内容