網絡犯罪的手法總是不斷翻新，他們不停優(yōu)化武器和攻擊策略，無情地漫游網絡以尋找下一個大目標。

各種各樣的敏感信息、隱私數據，如保密的員工檔案，客戶的財務數據，受保護的醫(yī)療文件和政府文件，都面臨著網絡安全的無情威脅。

解決問題的方法很多，從培訓Email用戶安全意識到確保VPN 終止開關到位，再到添加廣泛的高級網絡保護層。

為了成功防御黑客、蠕蟲病毒和惡意軟件(如僵尸網絡)的嚴重威脅，網絡管理人員需要采用所有適合全面網絡防御戰(zhàn)略的工具和方法。

在上述所有威脅中，僵尸網絡無疑是最令人不安的安全風險。它們不僅僅是業(yè)余網絡罪犯的惡行，更是最黑暗的網絡騙術。

最讓人談虎色變的是它們的隱蔽性——隱身潛伏在周圍尋找漏洞利用機會的能力。

僵尸網絡如何工作?

僵尸網絡并不是一種直接的黑客戰(zhàn)略武器，它是微妙的數據提取惡意軟件。它們潛入網絡，未經授權訪問計算機，并允許惡意軟件在不被察覺的情況下繼續(xù)運行，同時它們竊取數據并將其導出受害者網絡之外進入等待中的“僵尸主機”，在整個過程中逃避檢測。

如何阻止僵尸網絡?

網絡防御的第一線必須有人把守——那些真正使用計算機工作的人、在辦公室執(zhí)行日常任務的人。

應對不斷演變的威脅的最佳防御措施是培訓作為黑客潛在目標的用戶。網絡防御的第一線涵蓋網絡交互的所有范圍，從電子郵件到社交媒體。

建議實施一種策略，該策略應結合您組織的實際情況，將以下盡可能多的方法(從一些基本方法到復雜的解決方案)納入考慮范圍：

1. 確保您的VPN設置了一個終止開關

虛擬專用網絡(VPN)允許用戶通過公共網絡連接到VPN來訪問機密信息。你的VPN應該有一個終止開關，以防止敏感數據(如IP地址)無意中通過不安全的連接傳輸。

2. 開發(fā)強大的系統(tǒng)來捕獲和阻止BEC

商業(yè)電子郵件泄露是一種常見的攻擊策略，英文縮寫為BEC(Business Email Compromise)，BEC詐騙事件的數量不斷上升，這種攻擊很難防御。

• BEC檢測和消除的解決方案需要有效的分類和策略來阻止可疑電子郵件發(fā)件人，內容和附件。
• 安裝防御網關Web工具(例如WebSense，McAfee)，以幫助阻止從不良來源接收電子郵件，并阻止將請求發(fā)送給被認為可能是惡意軟件來源的地址。

3. 建立嚴防BEC的文化

據報道，社交操縱是犯罪分子用來攻擊電子郵件賬戶的最常見方法之一。他們早就發(fā)現，點擊電子郵件附件是許多忙碌用戶的一種條件反射。因此，可以通過以下方法增強系統(tǒng)的安全性：

• 假設用戶始終會打開電子郵件附件，即使你的組織在員工手冊里有那么不顯眼的一條政策——在點擊前三思而后行，也要更徹底地推進這項政策。
• 為員工提供有關網絡安全的意識培訓和知識、技能更新，例如使用強密碼。
• 教用戶如何獲得幫助以及使用實時解決方案來隔離和避免利用網絡的各種攻擊。
• 教用戶勤于舉報可疑電子郵件。在培訓中要包括電子郵件攻擊和模擬演示，以幫助他們學會識別攻擊，并為賬戶最易受攻擊的用戶提供額外支持。

4. 切換到手動軟件安裝

盡管這條建議可能不受歡迎，但是某些組織應該根據其威脅狀況通過自動運行功能禁用軟件的自動安裝。

禁止自動運行自動安裝軟件有助于防止計算機操作系統(tǒng)不加選擇地從未知的外部源啟動不需要的命令。

5. 啟用Windows防火墻

安裝Windows防火墻對于抵御安全威脅的基線保護至關重要。用戶可能想要禁用Windows防火墻，以防止其阻止他們要建立的網絡連接。

如果您的聯網計算機有替代的適當的防火墻保護，則最好甚至有必要禁用Windows防火墻。

關鍵是要配置適當的防火墻保護。

6. 網絡隔離

考慮網絡隔離。在當今的工作環(huán)境中，大多數計算機站必須每天在部門之間多次相互通信。

然而，對于不需要這種廣泛訪問權限的機器來說，限制或消除這種能力在很大程度上有助于阻止僵尸網絡在你的網絡中傳播。

盡可能：

• 通過形成虛擬局域網(VLAN)將網絡風險降到最低。
• 使用訪問控制列表(ACL)篩選器限制對對象的訪問并限制威脅暴露。

7. 使用數據過濾

僵尸網絡惡意軟件通常通過與至少一個遠程命令和控制服務器建立交互來工作，黑客還利用該服務器非法提取敏感信息。

要阻止惡意互動并阻止犯罪活動，請對流出網絡的信息使用數據過濾。

一些可行的方法包括：

• 可以應用出口內容過濾工具，強制組織的網絡流量通過過濾器，以防止信息流出組織網絡。
• 數據丟失預防(DLP)解決方案還可用于監(jiān)視未經授權的訪問和破壞，防止它們泄漏信息。

8. 打破域信任關系

消除密碼信任以重新獲得對本地賬戶的更嚴格控制。謹慎地控制本地管理員賬戶對切斷威脅并消除威脅至關重要。

禁用計算機的自動互連功能，可以切斷僵尸網絡用來在內部網絡中傳播的路由。

在某些或許多計算機包含高度敏感數據的網絡中，這可以提供一種安全的替代方法來防御僵尸網絡攻擊。

9. 采取額外的預防措施

設置額外的保護層，以幫助防止僵尸網絡在您的系統(tǒng)中自我保護，重點是強化支撐網絡，例如，某些特別脆弱的特定接觸點、來自某些硬件或軟件組件的路由。

記住以下幾點：

• 基于主機的入侵檢測系統(tǒng)效率極高，但成本也很高，通常很難部署成功。
• 這些工具無法糾正操作系統(tǒng)的缺陷或其他現有技術缺陷。

10. 增強和增加網絡監(jiān)控

密切監(jiān)控網絡，掌握網絡連接用戶在組織內的操作活動，可顯著提高網絡防御解決方案的能力

當僵尸網絡或其他惡意軟件入侵開始時，更深入地監(jiān)測網絡交互行為，可以更快速地檢測到異?；顒印?/p>

• 理想情況下，應該采用24小時監(jiān)控網絡的策略，使用數據收集工具檢測異常行為并阻止?jié)B透系統(tǒng)的嘗試。
• 考慮購買遠程網絡安全服務，以獲取范圍更廣、質量更高的網絡監(jiān)控設備和專業(yè)知識，這可能超出內部IT設施和/或一個員工提供全天候服務的水平。

11. 使用代理服務器控制網絡訪問

創(chuàng)建一個可以監(jiān)控互聯網訪問的支持出口點，從而增強監(jiān)視工作的力度。通過代理服務器路由出站信息可以阻止網絡犯罪分子繞過網絡安全性的嘗試。

對于大多數網絡，通過代理服務器過濾內容是一種實用的選擇，盡管停止每一點疑似有問題的出站信息可能并不現實。

12. 應用最低特權原則

一般而言，訪問權限應該基于用戶功能的需要。如果管理員與特定工作站的用戶不是同一個人，則通過下載傳播惡意軟件的難度會大得多。

這也使得采用自動運行策略來利用系統(tǒng)變得更加困難。這進一步增加了犯罪者通過利用用戶的網絡賬戶憑據將惡意軟件從一個被滲透的計算機工作站傳播到其他工作站的難度。

13.監(jiān)視對域名系統(tǒng)的查詢響應

持續(xù)監(jiān)視工作站對DNS服務器的查詢是識別僵尸網絡滲透癥狀的一個極好的方法。例如，監(jiān)視低生存時間(TTL)。

TTL值異常低可能表明僵尸網絡滲透。通過仔細監(jiān)測低TTL值，系統(tǒng)管理員可以采取措施來抵抗攻擊，并在感染蔓延之前消除僵尸網絡。

14. 隨時掌握緊急威脅

讓IT團隊及時掌握最新的本地、國家和全球網絡威脅動態(tài)。例如，據報道，使用電子郵件中的URL滲透到內部網絡的犯罪發(fā)生率比使用附件的犯罪發(fā)生率高得多。

更普遍地說，在過去一年里，通過使用僵尸網絡成功從內部網絡竊取信息的比例十分驚人。

及時了解新的動態(tài)和不斷更新的網絡威脅是網絡管理專業(yè)人員必須始終如一地堅持的首要活動，以有效地保護系統(tǒng)安全。

更安全地邁入2020年

為了保護那些信任你的人，保護他們敏感的個人信息，保護你的品牌聲譽，你需要全方位地捍衛(wèi)網絡安全。

使用上述策略、方法和工具，來確保你已有效地防御來自電子郵件，移動訪問點，社交平臺和任何其他媒體的網絡攻擊。

如前所述，僵尸網絡現在占網絡犯罪的絕大比例。使用上述方法可以幫助你構建一個穩(wěn)固的網絡安全框架，該框架可以根據不同網絡預算和規(guī)模進行靈活調整和擴展。