- 企业可以根据行业标准或最佳实践建议,配置和加固基础操作系统(OS)和支持组件(如IIS、Apache、SQL),并根据供应商提供的最佳实践指南实施应用程序级的安全控制 。常见建议包括:
- 构建基于角色的访问控制机制
- 防止最终用户绕过应用程序级安全控制功能,
- 如–在本地工作站上禁用防病毒软件
- 禁用不必要或未使用的功能或软件
- 实施强大的应用程序日志记录和审核
- 及时测试供应商补丁,并尽快更新 。
业务影响分析(BIA)是应急响应规划和准备工作的重要组成部分 。业务影响分析主要输出两部分内容(与关键任务/业务运营有关),包括:
- 系统组件的特征和分类
- 相互依赖关系
为了能够有效应对这样的情况,企业应该进行以下准备(并应在事件应急响应演练中确认):
- 列出所有关键业务系统和应用程序清单:
- 版本信息
- 系统或应用程序依赖关系
- 系统分区、存储配置和连接情况
- 资产所有者和联系人
- 组织内所有重要人员的联系方式
- 恢复团队的安全通信手段
- 外部支持组织或相关资源的联系方式信息
- 通信服务供应商
- 软硬件组件供应商
- 外部合作伙伴
- 服务合同编号清单--用于协调服务供应商支持
- 企业采购联络点
- 关键系统和应用程序恢复所需的ISO或映像文件:
- 操作系统安装介质
- 服务包或者补丁
- 固件
- 应用程序软件安装包
- 操作系统(OS)和相关应用程序的许可或激活密钥
- 企业网络拓扑图和架构图
- 系统和应用程序的相关文档
- 操作清单或操作手册的纸质副本
- 系统和应用程序配置备份文件
- 数据备份文件(完整或差异备份)
- 系统和应用程序安全性基线、加固清单或准则
- 系统和应用程序完整性测试和验收清单
如果企业发现破坏性恶意软件大规模爆发的迹象,在事件响应过程中,应当采取有效措施遏制其传播,防止企业网络其他部分受到影响 。
遏制措施包括:
- 确定所有出现异常行为的系统所感染的恶意软件类型,恶意软件并可能通过以下途径进一步传播:
- 集中式企业应用程序
- 集中式文件共享
- 受感染系统共用的特权用户帐户
- 网络分区或网络边界
- 通用DNS服务器
- 根据恶意软件可能采用传播方式,可以有针对性地实施控制措施,以进一步减少影响:
- 实施基于网络的访问控制列表ACL,阻断感染的系统或程序与其他系统的通信功能,
- 立即将特定系统或资源隔离,或通过沙箱进行监控
- 为特定的IP地址(或IP范围)实施空网络路由—使其无法对外通信并传播恶意软件,
- 利用企业内部DNS—将所有已感染恶意软件的服务器和应用程序解析为空地址
- 立即禁用可疑的用户或服务帐户
- ?删除可疑文件共享的访问权限或禁用其共享路径防止其他系统访问
【企业感染恶意软件该怎么处理】
推荐阅读
- 企业入驻天猫网店需要哪些条件 天猫专卖店入驻条件费用
- 企业会务工作操作手册,从会前准备到会议总结,涵盖各方面
- 汉中市新增4家省级重点龙头茶叶企业
- 消费者健康需求提升 茶饮料企业如何面对
- 淘宝企业店铺如何开通注册流程 淘宝营业执照怎么办理流程
- 浙江5日起取消六企业龙井茶证明商标准用证
- 陕西12家茶企上榜农业产业化国家重点龙头企业
- 大益企业文化十六字真言
- 安化茶协公布安化黑茶商标使用企业名单
- 普洱茶十大知名品牌 企业 企业家揭晓