再也不做“肉鸡”管理员，干好这5项工作

http://www.codeceo.com/article/5-steps-to-be-safe-manager.html

在这个互联网信息大爆炸的时代，企业对IT管理员的要求越来越高，一不小心，各种“密码泄漏事件”、“DDOS攻击事件”就会层出不穷，严重影响企业的发展。如果你不想成为“肉鸡”管理员，那么请干好下面的5项工作：文档化、诊断、限制、清除、补丁更新。

1. 文档化

如果你要有效地管理IT风险，需要有完善的事件响应流程。行动计划的缺失可以说是有效安全响应的最大障碍。马上开始制定积极的预防措施来尽量减少恶意软件攻击的潜在影响。如果要让你的组织具备处理被僵尸网络劫持的能力，那么一个对不同终端，网络访问，数据管理以及未知用户都有详细定义的好的计划是相当有必要的。

2. 诊断

俗话说，治病一半的功劳在于诊断。所以，感染点在哪里?这是一个对于恶意软件来说价值$ 64,000的问题。

使用加密，快速DNS变更的方式进行攻击称之为“Fast Flux服务网络”，很多典型的僵尸网络和C&C代码都是使用这种方式穿梭在传统的安全控制雷达之下的。这就是为什么没有合适的工具就难以检测僵尸网络。但如果你能找到恶意软件发起的主机，一定要加紧调查并尽量控制范围。提示：Windows客户端被感染的可能性比较大，但也可能是你的Windows服务器。

使用微软的Sysinternals工具是一个好的开端。需要特别小心的是注意在有嫌疑的机器上输入的任何密码，以及从这里访问的其它系统等。对于像Wireshark之类的网络分析工具，OmniPeek还可以提供额外的视图以查看网络层面发生的事情，这种更高级别的视图将让管理员受益匪浅。

此外，你最终可能需要从Damballa和FireEye这样的供应商那里获取更先进的技术，以有效地追踪恶意软件感染和进行肉鸡移除。

3. 限制

如果你足够了解恶意软件的感染，可以运用一些应急的网络访问控制列表或防火墙规则来阻止恶意软件的入站或出站网络流量，直到将它们清理掉。

你还可以采用白名单的方法，加上本地策略或组策略作为基本工具来对抗恶意软件感染，更可以使用Bit9提倡的“积极安全控制策略”作为高级工具进行对抗。

4. 清除

只是运行一个简单的防病毒扫描是无法将肉鸡移除的。你甚至无法检测到恶意软件的异常行为。即使可以检测，恶意代码也往往与操作系统/注册表相互交织，使主流的杀毒软件不知道如何进行处理。

你所能做的最好的措施之一就是运行多个反恶意软件工具，尤其是像Webroot和Malwarebytes这样的对更高级威胁相对了解的工具。你也可能除了重新安装操作系统之外毫无选择。

此外，在重新安装操作系统时，还要注意数据丢失的风险。在我处理过的项目中，几乎没有任何内部安全评估，也没有找到位于工作站上的敏感信息的备份副本。

5. 补丁更新

对于恶意软件的感染，最大的敌人莫过于用户没有对Java、Adobe和相关的第三方软件进行定期更新。其次是Windows XP即将退休。

问题是，对企业的系统进行更新可以消除威胁，至少可以防止恶意软件的传播。所以现在需要开始考虑第三方软件的补丁管理问题，以至于在真正出现问题时你可以有所防备。