常用的僵尸网络防御方法有哪些
常用的僵尸网络的防御方法如下:
传统防御方法:由于构建僵尸网络的僵尸程序仍是恶意代码的一种,所以传统的防御方法是加强因特网主机的安全防御等级以防止被僵尸程序感染,并通过及时更新反病毒软件特征库清除主机中的僵尸程序,主要包括使用防火墙、DNS阻断、补丁管理等技术手段。
创建黑名单:通过路由和DNS黑名单的方式屏蔽僵尸网络中恶意的IP地址和域名是一项简单而有效的技术。在该方法中,如何获得恶意IP地址及域名等信息是关键。目前,已有一些研究机构和个人在网络上共享了通过僵尸程序分析、IDS日志分析等方法获得的恶意IP地址和域名的黑名单。为此,只要能够确保黑名单的及时性和准确性,创建黑名单方法是非常有效的。另外,针对基于Web方式来传播僵尸程序这一现象,目前各主流的Web浏览器都加入了黑名单机制来阻止用户对恶意Web网址的访问。例如,Google公司启动了Google Safe Browsing项目来收集并发布挂马和僵尸程序宿主网页及钓鱼网站,并以黑名单的形式集成在firefox和chrome浏览器中。其他浏览器厂商也进行了类似的工作。
关闭僵尸网络使用的域名:直接关停僵尸网络所使用的域名或关闭其命令与控制服务器的网络连接是一种最直接有效的方法。例如,针对僵尸网络具有命令与控制信道这一基本特性,可以通过摧毁或无效化僵尸网络命令与控制机制使其无法对因特网造成危害。
减少攻击面:任何连接到互联网的设备都存在风险。越来越多不安全的物联网设备,提供了大量随时可访问的入口,大大增加了攻击面。而配置错误、配置协议安全性不足以及近两年来远程访问的增加,是攻击面暴露增加的另外几大因素。企业可从业务资产梳理、数据资产监控、对外开放后台、弱密码、API安全、文件传输角度出发,做好资产梳暴露面管理。
增强对网络钓鱼与社工的防范:网络钓鱼和社会工程仍是获取系统和设备访问权限的主要方法。应对这种现状,企业需保证基本的网络安全操作,同时为各级员工提供持续的网络安全意识培训。例如,只有在确定新设备安全设置满足企业安全基线标准的情况下,才能将新设备添加到网络。
主动关注僵尸网络:主动关注僵尸网络动态,最重要的是确保系统和设备软件最新,尤其需要监控使用较少的设备。供应商一旦发布更新,建议立即应用,保证设备获取到最新的安全更新。
做好IoT物联网配置管理。更改默认设备的登录凭证,淘汰或者移除网络中旧的、未使用的设备,从而减少攻击媒介。同时,只允许合适的主机设备进行访问,也可预防僵尸网络攻击。而将物联网设备与其他关键系统进行隔离,也有助于减轻僵尸网络攻击造成的影响。另外,针对设备启用多因素身份验证,限制可访问用户数量,也是一种有效的方法。
增强对网络操作的可见性。通过网络监控与分析工具,能够对设备及流量模式进行更深入的了解。如有需要,部署人工智能网络监控,可确定基线使用情况及对异常情况的监控,有助于对攻击初始阶段进行检测,让安全团队及时做出反馈。