处理恶意软件爆发

由于攻击者的动机是基于经济掠夺，他们的攻击形式也不只是骚扰或破坏活动而已。恶意软件攻击已经变得更複杂，甚至成为机构一项严重的隐忧。大规模恶意软件攻击，经常是指恶意软件爆发，会导致机构广泛的损害与崩溃，这是需要很长的复原时间与努力。因此采取适当的预防步骤是很重要的，例如装设保护与侦测工具，以保卫机构不受到恶意软件的攻击。

然而，在资讯保安世界里并没有所谓的「防弹保护」。机构发展功能强大的资讯保安事故处理程序尤其重要，如此一来行政人员才更能够以更具组织化，更方便及更有效的方式做足準备，好处理恶意软件的爆发。

如公司保安事故处理部份中所定义的，一个事故应变程序应该有叁个阶段：「规划和準备」，「应变」及「事后跟进」。本篇列举「应变」及「事后跟进」阶段的步骤，这对于完善处理恶意软件爆发是很重要的。关于「规划和準备」阶段更多的资讯，请参阅上述的「公司保安事故处理」部份。

「应变」阶段包括下列五个步骤：

侦测与确认

确认恶意软件爆发是否已经发生。

这个步骤的目标是要确定是否已经发生恶意软件爆发。恶意软件爆发的典型征兆包含下列的一些或全部状况：

用户抱怨接达互联网缓慢，系统资源减少，磁碟接达缓慢，或系统启动缓慢；

主机入侵侦测系统（ HIDS），或抗恶意软件侦测软件产生一些警告；

网络的使用明显增加；

周边路由器或已经记录到一些违反接达进入；

侦测到来源于内部互联网规约地址的对外简单邮递传送规约 (SMTP)通讯激增；

侦测到大量的埠扫描以及连结失败的企图；

系统管理者注意到不寻常的典型网络通讯流来源；

许多主机上的保安控制如抗惡意軟件与个人防火墙遭到关闭；

一般性的系统不稳定与失败；

若发现上述的任何一项征兆，资讯科技人员应该立即检查并验证所有可疑活动，以便确定爆发是否发生。一旦确认这是恶意软件引致的违反保安事件，蒐集关于该恶意软件的资讯是很重要的，因为这是遏制与杜绝程序所必需的。

若这种恶意软件已经从抗恶意软件侦测软件的覆检以及防火墙与路由器记录档检查中得知存在一段时间，就可以从抗恶意软件经销商网站获得该恶意软件的资讯。下列问题能够帮助辨别恶意软件的特征：

这是那一种类的恶意软件（网络、大量邮件蠕虫、、或是等）？

这种恶意软件如何散播（透过具漏洞的网络服务攻击？还是透过大量邮件？）？

如果恶意软件透过攻击具漏洞的网络服务来散播，那什麽漏洞会遭到攻击？处理该漏洞的是否已经公布？什麽服务或埠会遭到攻击？

恶意软件是否在受感染的系统上植入？

如何从受影响的系统上移除恶意软件？有任何可用的移除工具吗？

执行初步评估

一旦一项爆发已经辨别出来，资讯科技人员应该评估爆发的範围、损害及衝击，以便做有效处理。

记录所有采取的措施

资讯科技人员应该记录所有处理爆发的采取措施以及任何反应的结果。这些记录有助确认和评估事故，为检控提供证据，并为及后的事故处理阶段提供有用的资料。整个保安事故应变过程都应保留记录。

升級處理

升级处理

事故应变的第二阶段是通知适当的人员，并根据既定的升级处理程序将事故提升到适当的级别。升级处理程序所提供的资讯应该要清楚，简要，準确并符合事实。提供不準确的、误导的或不完整的资讯可能会延误应变程序或甚至可能使情况恶化。务必紧记，关于事故的资讯应该只在需要知道的基础上被揭露。

遏制

恶意软件事故应变的第三阶段是遏制。下列事项是遏制阶段所应该执行的活动：

确认受感染系统
清楚确认受感染系统总是遏制的第一步骤。不幸地，基于目前资讯科技环境的动态特性，这也是非常複杂的程序。下列的建议可以在管理环境中协助确认受感染的系统：

使用最新恶意软件定义档以及更新过的抗恶意软件侦测与修复引擎，在所有系统上执行完整的病毒扫描。因为没有任何单一抗恶意软件侦测工具能够涵盖所有种类的恶意软件，所以需要使用一种或以上的抗恶意软件扫描工具，以确保能够侦测到所有的恶意软件；

複查所有路由器与防火墙的记录档；

提供如何确认感染的指引给用户；

配置 IPS或 IDS以辨认与感染相关的活动；

执行封包追踪 (packet sniffing)，以寻找符合恶意软件特征的网络通讯。

遏制爆发
遏制爆发可以有好几种方式进行；以下是一般常见策略：

使用自动化工具
像抗电脑病毒软件或恶意软件侦测工具， IDS与 IPS等自动化工具可以遏制恶意软件的散播。倘使现存的抗恶意软件保护系统无法侦测到恶意软件，甚至应用最新定义档也无效时，就应该寻找抗恶意软件供应商的支援，以建立可以涵盖恶意软件的新定义档。

中断网络连接
立刻切断受感染系统与整个网络的连接，可以有效遏制恶意软件爆发。可以透过在网络装置上加上接达控制，或实体地切断网络导线中断网络的连接。某些情况下，为了遏制恶意软件散播到机构的其他区域，暂时将网络段从主幹网络上切断是必要的。无论如何，遏制策略将一定会影响该网络与其他未受感染系统的作业。

停用服务
恶意软件会透过网络服务，如可分享的网络磁碟等来散播。暂时性地堵截或甚至关闭被恶意软件利用的网络服务可协助遏制事故。

消除漏洞
恶意软件会透过攻击具漏洞的网络服务而散播。比方像安装保安修补程式在具漏洞的系统上，来处理甚至已遭恶意软件盘剥的漏洞，消除繁殖的管道，进而遏制恶意软件的散播。此外，某些如可分享网络磁碟丧失接达控制等错误配置，也会被恶意软件利用。矫正任何的错误配置可以遏制恶意软件的散播。

用户的参与
像在一个小型远端分部办公室或非管理办公室环境中，可处理爆发的技术支援人员是有限的，用户参与的效果在这个时候对于遏制程序就十分显著。当系统确定遭到感染时，应提供用户如何确认感染以及该采取什麽步骤的清楚指示，例如在受感染系统上执行抗恶意软件移除工具。

保存所有已采取行动的记录
在这个阶段保存所有已采取行动的记录是很重要的，因为某些遏制步骤需要对网络基建与系统的配置或设定作暂时性修改。这些修改在事故之后需要移除。

最重要，是要瞭解停止了恶意软件的进一步感染并不代表防止了受感染系统被进一步的损害。例如，停用网络连接可以遏制感染，然而，恶意软件仍可删除受感染系统上的档案。因此，要尽快地或与遏制程序同步进行完整的杜绝程序。

杜绝

杜绝恶意软件爆发应从所有受感染的系统与媒体上移除恶意软件，并且矫正感染的结果。在执行杜绝程序之前，建议先蒐集所有必要资讯，包括可能必须在删除程序里删除或重设所有的记录档，然而这对于事后跟进调查是有帮助的。

杜绝的基本方法，一般是使用抗恶意软件扫描软件以及移除工具。然而，在某些情况下，重新安装受感染系统是必要的。例如，当恶意软件已在受感染系统上植入后门时，为了复原系统的完整性，重新安装所有受感染的系统会是最值得信赖的行动。系统重建一般包括下列几个行动：

从可信赖来源重新安装系统，如系统安装片或可信赖且乾净的系统像；

确保新安装的系统安全，如检查并确保最新恶意软件定义档以及更新的抗恶意软件侦测与修复引擎，加上必要的保安修补程式，应用于每一台机器上；

从未受染的备份媒体上复原资料。

复原

这个阶段的主要目的是将系统复原至正常运作状态。很多时候，「杜绝」及「复原」阶段都是不能分割，因为受感染的系统的功能及其资料已在「杜绝」阶段中被恢复。除了复原受感染系统，移除所有暂时性的遏制措施，例如被暂时中断的网络接连，是复原程序中另一个主要部分。

在移除遏制措施前，其中的一项重要工作是进行生产前保安评估，以确已没有系统受到感染，并确定感染的根源已被删除。

在恢复系统操作前，应事先通知所有相关人士。在受控制的情况下，资讯科技人员应该按照需求的缓急次序逐步恢复功能／服务，例如可优先恢复最重要的服务或以大多数人为对象的服务。复原中止服务之后，其中的一项重要工作是检验复原操作是否成功，系统是否已恢复正常操作。另外还可以实施额外的监视措施，以观察相关网络区段有否任何可疑的活动。

「事后跟进」阶段

受感染的系统恢复正常操作并不代表恶意软件爆发处理程序的结束。采取必要的跟进行动十分重要。跟进行动包括评估事故所造成的破坏、系统改良以防止再度发生事故、保安政策和程序更新及为日后的检控进行个案调查。这个阶段的行动包括下列事项：

检验现存恶意软件保护程序与机制的有效性，包括了恶意软件定义档分佈与侦测修复引擎的更新，定期规律的恶意软件扫描等的中央控制与管理。

在需要时更新相关政策，指引与程序。

执行经检验政策 / 指引 / 程序后所引进新的保安措施，以保护系统对抗未来的攻击。

提醒用户遵循保安最佳作业实务，如不可从未知 / 可疑的电子邮件来源开启邮件，养成需要时就更新保安修补程式与病毒定义的习惯等等。