編輯部
沒錯!電腦病毒的感染及觸發,其實是有區域性、單位民情的。比方說,在學校單位出現的病毒,在公司行號中很少見;而民間企業出現的病毒,則很難在政府機關發現;臺灣出現的病毒,在國外也很少見。
本文目錄
Q1 大型單位中最常見的病毒交叉感染類型為何?
e-Ray Secure 答:
一、 USB 隨身碟病毒(伴隨木馬同時產生):顧名思義,是一種隨著外接儲存裝置感染的病毒,病毒會藉由自動複製的功能,肆意在電腦與外接儲存裝置間交叉感染。傳染途徑: 包括外接儲存裝置、網路分享、 E-Mail 。
二、 BotNet 殭屍病毒(伴隨木馬同時產生):受到 BotNet 殭屍病毒感染的電腦會任由駭客遠端遙控,駭客不但可竊取資料,還可利用被控制的電腦主機發動對特定網站的攻擊。病毒通常會隨著 e-mai l 、 MSN 即時通訊軟體或電腦系統漏洞,入侵電腦主機,再藏身於不特定的程式裡面。
再來,駭客就會藉由 ( I R C) 網路聊天軟體,遠端控制受感染的電腦主機, 或者發動網路攻擊,當然包括竊取個人私密資料、發動網路阻斷式攻擊、散佈大量垃圾郵件等等。 BotNet 還擁有自我複製並主動散播,防毒軟體更是不易察覺,BotNet 病毒不但會攻擊其他電腦,而且它具有「爬」的特性,會在網路中「爬行」就像「蟲」一樣,當 BotNet 病毒遇到有漏洞的電腦主機,就會展開攻擊。
傳染途徑: M S N 、 I C Q 通訊軟體、 E-Mail 、網路分享、微軟的漏洞。
而上述病毒特徵包括:
1 、電腦速度變得非常慢。
2 、封包大量流出,網路速度變非常慢或無法連結上網頁。
Q2 大型單位的交叉感染病毒,會有怎麼樣的情況呢?
e-Ray Secure 答:
最近在服務某大學中有遇到類似的狀況,該大學內的電腦數約為 4,000 臺、伺服器約 100 臺,在剛接觸到該單位時,隨身碟病毒 Kido 正在學校中不斷的變型與重覆感染。經過了解後發現,由於用戶端使用者多為學生,學生使用網路範圍廣,遇到網路威脅的可能性也相對的大,而用戶端電腦卻完全沒有納入集中控管,導致只要遇到中毒狀況,管理人員沒辦法集中快速了解及反應問題,只能到場使用解毒工具處理病毒狀況,人力資源消耗過大,執行效率有限。
Q3 遇到上述的狀況,專家們會給予什麼樣的建議呢?
e-Ray Secure 答:
針對這樣的環境,我首先建議各大樓均架設一臺 slavery 管理主機,管理該大樓的用戶端,集中由 Master 管理主機,控管所有的用戶端電腦狀況,掌控病毒掃描及更新病毒碼的動作,接著,再輔以每日排程病毒報表,迅速瞭解用戶端中毒狀況,即時回應,即時隔離中毒電腦。
另外,為了避免病毒透過內部不斷的交叉感染,在學生宿舍方面,由於外接設備及 MSN 之類的聊天軟體使用頻繁,我們建議獨立一臺防毒主機管理,並將該 VLAN 與行政單位切開,避免病毒入侵到行政單位的電腦,造成行政作業中斷的情況產生,發生內部「病毒交叉感染」的情況,能夠隔離並阻斷在單一小範圍內,會是比較好的作法。
最後,面對現在不斷變種的病毒,我們也建議,除了防止內部「病毒交叉感染」的情況產生,其實閘道端的防護也是不可鬆懈的,加強閘道端防毒、入侵偵測的功能,雙管齊下,才能讓病毒無路可逃。
Q4 可否提供另一個的導入案例、導入過程?
e-Ray Secure 答:
現在提供的客戶是某大集團的醫療單位,該院區的分點遍及北、中、南及東部,在這邊我們針對北部分點作些討論。北部分點的環境,用戶端電腦與主機伺服器數量大約共有 1,300 臺,而該單位先前是使用 S 牌防毒軟體,由於合約到期,該單位決定要全面換成卡巴斯基,也因為該單位規模較大,我們相當重視前期導入工作的部份。
導入前期,我們先做了 Site Survey,所謂 Site Survey,是請該單位內部 IT 相關的部門,提供單位內的網路架構、用戶端相關資料(如系統、硬體設備、特殊的應用等),採階段重點式的方式進行安裝測試,在測試期間對有發生狀況的電腦,會做疑難排解並記錄,以供後續規劃安裝時程表時參考。
Q5 導入過程是否順利?
e-Ray Secure 答:
在開始安裝用戶端的防毒時我們發現, 由於該單位之前並未妥善做好用戶端的管理, 所以在安裝期間,發生多臺用戶端電腦因換裝了卡巴斯基防毒軟體並做完整掃描後, 系統重新啟動後無法進入作業系統; 對此事件, 該單位的高層主管、 I T 人員與用戶端使用者, 表示不滿, 他們認為原本裝的 S 牌防毒軟體,電腦使用一切正常, 而換了防毒軟體廠牌後, 卻用戶端電腦確無法使用。
筆者立即將有狀況的電腦帶回公司檢測,發現根據掃描報告顯示, 該用戶端電腦內約掃描出 500 多隻以上的惡意程式,內含大量蠕蟲、木馬等,並且因為多數系統檔已被惡意程式破壞,才導致整個系統無法回復;於是,筆者將此次的檢測結果回報給該單位,讓該單位明白由於之前的未妥善管理,導致乎整個網路電腦架構竄流著大量惡意程式,連用戶端感染了多數惡意程式也不自知,在內部遭受惡意程式的流竄下,一些機密的文件或資料可能就悄悄的在其中流失。
經過與該單位的報告和溝通協調後,該單位決定趁這次機會,重新整理其架構,並做好用戶端的管理。我們建議該單位的作法是,不管在有無網域的電腦架構中,妥善保護最高權限者 (Administ rator) 的帳號與密碼,對用戶端電腦,針對使用者開放所需的權限,但還是不開放安裝軟體的權限, 以免使用者隨意安裝不明來源的軟體,並排程修補系統與程式漏洞 (如:Windows Update) 。
Q6 可否分享導入的心得?
e-Ray Secure 答:
經過這次在該單位上遇到的狀況, 對於企業單位奕瑞有兩個心得分享:
一、 不管 IT 部門在前端與後端使用多麼先進的防護機制,只要使用者沒有正確的資訊安全觀念,便會成為企業資訊安全的漏洞;所以對於使用者,單位內部能適時的宣導資訊安全的重要,讓使用者養成良好的觀念,對於資
訊安全上防護才不會防不勝防。
二、 企業的 I T 部門,通常是在第一線保護著企業的資訊安全,我們常碰到可能因為並未落實交接工作,所以對該單位網路管理設定不甚熟悉的 I T,或了解該單位環境卻並未正確落實資訊安全的 I T 人員,往往在網域架構不夠完善及管理不夠確實的狀況下,用戶端任意下載與安裝不明軟體,導致感染了多數惡意程式也不自知的狀況;所以對於 I T 人員,筆者認為妥善的管理與落實資訊安全是刻不容緩的。