追蹤
Albert資訊園地
關於部落格
【Albert的資訊事件簿 】< ==(Albert的資訊事件記錄部落格)
【Albert的旅記日誌】< ==(Albert的攝影遊記部落格)

這裡是有關於Albert資訊學習園地以及放置攝影照片的地方...


WAU_classic('isdbqgkjjctw')
  • 108922

    累積人氣

  • 2

    今日人氣

    0

    追蹤人氣

[ZDNet轉貼]給MIS的6個防毒備忘錄

備忘錄3. 全球爆發重大病毒災情等待病毒碼空窗期,事前做好防範準備

還記得8月份ZOTOB 線上幽靈大鬧CNN 新聞播報現場的事件嗎?你當時是不是也擔心你所服務的企業會成為下一秒的受害者?現在病毒爆發的速度愈來愈快,應變再快的安全廠商也需要時間取得病毒樣本研製解藥。但企業也不一定要在等到防毒廠商病毒碼來到之前坐以待斃,只要知道病毒行為,企業網路也可以免於災害。以下以 ZOTOB為例,請你跟我一起這樣做:


a.隔離病毒產生的特定檔名:WORM_ZOTOB.A病毒會植入BOTZOR.EXE到受害電腦,因此將現行防毒軟體,設定隔離 BOTZOR.EXE,避免其進入系統。
(注意:不可封鎖系統檔案,以免機器運作受到影響。)


b.封鎖病毒攻擊的特定 PORT: ZOTOB攻擊 TCP 445/33333/8080 ,可啟動用戶端防毒軟體的防火牆關閉上述特定Port。
(注意:封鎖正常使用的Port會影響運作。)


c.封鎖傳播病毒的特定Email:WORM_ZOTOB病毒有特定主旨、關鍵字和附件,因此可透過郵件過濾軟體或閘道防毒軟體,設定條件過濾以下特徵的郵件:
主旨:

**Warning**
o Confirmed...
o Hello
o Important!
o Warning!

內文:

o 0K here is it!
o hey!!
o Looooool
o That's your photo!!?
o We found a photo of you in ...


附件:(副檔名為以下任一.bat、.cmd、.exe、.pif)

o image
o loool
o Photo
o picture
o sample
o webcam_photo
o your_photo

(注意:上述工作也可以透過具備中央控管病毒爆發政策的防毒管理軟體,集中派送到各對應的防毒軟體, 藉以簡化管理工作。)

備忘錄4. 閘道掃描HTTP,避免網路釣魚或間諜軟體背景執行

很多病毒以HTTP為入侵管道,導致很多用戶都是瀏覽網頁時中毒,甚至有些以未更新patch的IE瀏覽病毒網頁,病毒直接在背景執行,使用者根本不知道已經被植入病毒。除了假冒eBay、Yahoo、CITIBANK 騙取密碼的網路釣魚(phishing)頁面,連近年大熱門的部落格(blog)網站也傳出遭竄改,成為傳播惡意程式的媒介。

因此建議建置可針對HTTP做掃描的閘道防毒軟體,並啟用URL Filtering和Anti-Phishing功能,以降低病毒透過HTTP管道進入公司內部網路。

備忘錄5. Firewall 隔離 6667 port,避免bot傀儡蟲開後門

很多bot型的傀儡蟲包含後門程式,甚至還同時用多個漏洞攻擊。例如:WORM_RBOT系列變種自2003年開始就不斷跟著全球頭號病毒一起採用相同漏洞發動攻擊,包含:WORM_ZOTOB.D 、Worm_SASSER 、WORM_MSBLAST、SQLSLAMMER 、PE_NIMDA 等惡名昭彰病毒。

要如何避免這些從遠端入侵系統的 bot傀儡蟲暗中蠶食企業的生產力呢?根據研究,bot傀儡蟲偏好透過IRC protocol接收外部駭客的指令(例如自我更新病毒檔案、Port scan等)。建議將公司對外Firewall的 6667 port 關閉且in/out都得擋。

若要達到更高的資訊安全等級,建議MIS在Firewall上內到外的rule設定採用正面列表,只開放允許的Port或服務(例如80、21等),其餘內對外的存取全都擋掉。另外也要留意Firewall內對外的6667連線,若有的話紀錄IP並檢查是否中毒。若沒有偵測到,可能該機器已感染新型態變種病毒,這時可尋求防毒軟體業者協助, 提供捕捉新病毒樣本的方法。

備忘錄6.其他防毒要點


管制即時通訊軟體

強制移除匿名存取

取消共用帳號

定期掃描重大安全漏洞

Admin 權限限制

盡量減少具有Admin 權限的帳號

密碼複雜化,且強制定期修改密碼

參考網址:
http://www.zdnet.com.tw/enterprise/column/security/0,2000085711,20102002,00.htm
http://www.zdnet.com.tw/enterprise/column/security/0,2000085711,20102004,00.htm

相簿設定
標籤設定
相簿狀態