安全防护

什么是恶意软件?

恶意软件是指任何有损用户利益的软件。

这个术语涵盖的范围非常广泛,从最简单的电脑蠕虫和木马程序,到最复杂的电脑病毒等,都包括在内。恶意软件不仅会影响受感染的电脑或设备,还可能会影响与受感染设备通信的其他设备。

有效的 IT 安全防护可以减少企业受恶意软件攻击的风险。常见的防护做法有补丁管理(用于封堵系统漏洞)和访问控制(用于限制恶意软件的危害)。此外,经常备份独立于主生产系统的数据也可以让您快速、安全地从恶意软件感染中恢复。


恶意软件的攻击场景

假设您在一个普通的办公室工作。一天早上,您来到办公室,沏好咖啡,然后打开电脑。这时一切都开始不对了。

正常的电脑桌面没有出现,取而代之的是一个带有挂锁和倒计时钟表的血红色屏幕。“您的文件已被加密”,上面写道。“如果不在 7 天内付款,你将无法恢复文件。” 环顾四周,每一个同事都在自己的电脑上看到了同样的消息。无一例外。

2017 年 5 月,这种情景反复出现在全球各地的工作场所中,一个叫“ WannaCry”的恶意软件先后攻击了企业、政府,甚至包括医院等重要公共服务机构。

但并非所有恶意软件都喜欢这么高调地显露身份。您也可能会遇到非常隐蔽、令人毫无察觉的恶意软件,它会悄然拖慢您的系统速度,或者侵犯您的隐私。有些程序可以规避检测,只有在准确满足相应条件时才会有明显活动。

您可能无法阻止恶意软件,但可以通过及时获取信息并保持合理的安全措施,降低其破坏运维的可能性。


恶意软件的种类

为了更好地了解恶意软件的行为及降低风险的途径,我们可以将其划分为若干类别。这些类别之间可能会有重叠,而恶意软件开发者和操作人员通常也是在技术上大打组合拳。

恶意软件需要传播途径以及用于实现预期目标的代码。您可以将其理解为交付系统和攻击负载。

交付系统

木马病毒:诱使用户进行安装

蠕虫病毒:自我复制


它们可以组合成以下攻击方式:

漏洞利用:利用软件漏洞攫取对系统的访问权限

Rootkit 或 Bootkit:攫取管理访问权限,以规避检测并获得更多控制权

攻击负载

广告软件:显示令人讨厌的广告

僵尸网络:将设备置于外部控制之下

加密货币挖矿机:利用计算能力从事加密货币挖矿

勒索软件:索取钱财

间谍软件:秘密收集数据

其他损害:数据损坏、故意破坏、蓄意捣乱

木马病毒

木马病毒通过社交工程的方式传播。它将自己伪装成其他的东西,从而说服不知情的用户进行安装。一种常见的策略是攻击者诱使用户打开用于安装恶意软件的文件或 Web 链接。此外,用户可能会安装一个看起来很有用的应用,例如一个漂亮的浏览器工具栏或一套有趣的表情包,但它同时也包藏着恶意软件。另一项木马病毒技术会将自动安装的恶意软件写入 U 盘,随着 U 盘的流动传递给不知情的用户。

蠕虫病毒

蠕虫病毒就像虫子一样慢慢蠕动,闯入别人的地方。20 世纪 70 年代出现了第一批试验性电脑蠕虫病毒,当时它们只是简单地复制自己。80 年代出现了更具破坏性的蠕虫病毒,它们成为第一批广为人知的电脑病毒。这些病毒通过软盘在 PC 间传播,感染可以访问的文件。随着互联网的普及,恶意软件开发人员将蠕虫病毒设计为可以跨网络自我复制,使其成为了联网的企业和用户在早期受到的一大威胁。

漏洞利用

漏洞利用是指非法利用软件中的漏洞,以使软件执行其设计意图之外的某些操作。恶意软件可能会利用漏洞进入系统,或从系统的某处移动到另一处。许多漏洞利用都依赖于已知的漏洞(也称为 CVE),因为很多用户都不会及时装上安全补丁来保持系统为最新状态。"零时差漏洞利用"是另一种不太常见的情况,它会利用还没被软件维护人员修复的重大漏洞。

Rootkit 和 Bootkit

Rootkit 是一组旨在获得对系统的完全控制,继而隐匿踪迹的软件工具。Rootkit 可实际取代系统的正常管理控制。Bootkit 是一种高级 Rootkit,它可以在内核级别上感染系统,因而具有更多的控制权,也更难以检测到。

广告软件和间谍软件

广告软件会向您的设备投放大量不需要的广告。间谍软件是它的近亲,主要是收集您的信息并将其传送至其他地方。间谍软件既包括监控您互联网活动的跟踪器,也包括复杂的间谍工具。除了侵犯您的隐私之外,间谍软件和广告软件还会拖慢您的系统速度并阻塞您的网络。

僵尸网络

僵尸网络恶意软件会将设备的控制权转交给外部方,从而使该设备成为由受感染设备构成的大型网络的一员。僵尸网络通常用于执行分布式拒绝服务(DDoS)攻击、发送垃圾邮件或进行加密货币的挖矿。网络上任何不安全的设备都很容易受到感染。僵尸网络通常都有办法来扩张其设备网络,而且其复杂程度足以同时或按顺序展开多种恶意活动。例如,2016 年的 Mirai 恶意软件攻击就是利用由互联网连接的摄像头和家用路由器形成了一个庞大的 DDoS 僵尸网络。

勒索软件

勒索软件是要求用户为某个东西付费的恶意软件。许多常见的勒索软件都是对用户系统上的文件进行加密,并要求用比特币作为赎金来换取解密密钥。勒索软件的问题从 2000 年中期开始变得较为突出,至今仍是最严重和最普遍的电脑安全威胁之一。

其他损害

有时,恶意软件开发人员或操作人员的目标是销毁数据或破坏某些内容。早在勒索软件构成问题之前,第一个引起大众媒体关注的恶意软件程序是 1992 年的米开朗基罗病毒。该病毒曾试图在某个特定日期(3 月 6 日)覆盖受感染 PC 的磁盘驱动器。多年后,2000 年,ILOVEYOU 病毒以 Visual Basic 脚本的形式在用户之间广泛传播(作为电子邮件的附件发送)。运行时,它会删除各种文件,并将自己的副本通过电子邮件发送给用户地址簿中的每个人。

而以现代恶意软件的标准来看,有些病毒却非常古怪。比如 Stuxnet 就是其中的典型。2010 年,安全防护社区发现了一种令人费解且高度复杂的蠕虫病毒,其设计意图是篡改特定类型的工业设备。许多安全专家至今都认为 Stuxnet 是由美国和以色列政府设计的,旨在破坏伊朗的核武器计划。(没有任何政府正式承认对此事负责。)如果猜测属实,那么这就是一个新兴恶意软件的案例:一次由国家资助的网络攻击。


如何防范恶意软件

防范恶意软件的最佳方法就是不被感染。这说着容易做起来难,但通过采取以下步骤,确实可以提高您的胜算。

减少攻击面

最大限度减少向互联网开放的系统、应用及端口的数量。

用户教育

用户应该学会对电子邮件中的链接和附件抱有疑心,无论它们看起来有多么真实可信。

检测

越早发现恶意软件感染,就能越早修复受感染的系统。请记住,有些恶意软件真的是深藏不露。所以您需要定期更新检测工具,而且最好使用多种恶意软件检测方法。

补丁管理

由于软件维护人员通常会尽快修补安全漏洞,因此运行最新版的软件可以降低被恶意软件感染的风险。采用有效的补丁管理,您就可以确保整个企业的所有系统都能及时获取安全补丁。请经常检查并应用更新,以防已知的漏洞被利用。

访问控制

管理员控制权限应仅提供给受信任的应用和真正需要使用它的用户。这样,即便有恶意软件攻击您的电脑,也会难以感染系统的核心功能。请定期检查您的管理员控制权限。

数据备份和加密

在恶意软件攻击期间,正确的数据安全防护可以发挥巨大的作用。即使出现最坏的情况——也就是恶意软件攻破了您的系统,您也可以通过故障切换而转移到感染前的干净备份上。简单来说,这就表示备份数据可以保持隔离状态,因此恶意软件无法损坏或删除它。此外,最好对数据进行加密,这样恶意软件所泄露的任何数据就毫无用处。实际上,根据企业规模和复杂程度,您可能需要一系列组合策略。对于大型企业而言,在备份和加密方案中,混合云环境下的软件定义存储解决方案提供了极大的灵活性。

所有计算机系统都存在漏洞,而这正是恶意软件开发人员一直在全力寻找和利用的目标。所以恶意软件安全防护是一个永不停止的主题。

红帽 IT 安全技术指南提供了有关如何制定安全策略、流程和规程的更多信息。

信任红帽

Linux 平台

红帽企业 Linux 是一个成熟、稳定的技术平台,它多面全能,能帮助为企业轻松部署新型应用、虚拟化环境和创建安全混合云,并有红帽一流的支持服务提供坚实保障。


IT 管理

以最简便的方式,管理红帽基础架构,实现高效及合规 IT 运维。建立可靠的内容存储库和流程,帮助您构建基于标准的安全环境。

存储

一个软件定义的文件存储平台,可以处理备份、归档等大容量任务以及分析、虚拟化等高性能任务。它尤其适合与容器及流媒体搭配使用。

存储

一个软件定义的对象存储平台,还能为块和文件存储提供相应接口。它支持云基础架构、媒体存储库、备份和恢复系统以及数据湖。它尤其适合与红帽 OpenStack® 平台搭配使用。

随时了解 IT 安全防护情况