概述
恶意软件包括任何有损用户利益的软件。恶意软件不仅会影响受感染的电脑或设备,还可能会波及与受感染设备通信的任何其他设备。
从最简单的电脑蠕虫和木马程序,到最复杂的电脑病毒,都属于恶意软件。恶意软件、病毒和恶意代码相关但不相同,因此只用一种防病毒软件或反恶意软件可能无法抵挡所有威胁。它们可能会出现在台式电脑、笔记本电脑和移动设备上。根据设备所用操作系统(Windows、Android、iOS 或 Apple MacOS)的不同,恶意软件可能还会以不同方式进行攻击和呈现。世界上不存在绝对安全的设备。无论是专业设备还是个人设备,采取恶意软件防护措施通常都是有用的。
有效的 IT 安全防护可以降低企业遭受恶意软件攻击的风险。常见的网络安全防护做法有补丁管理(用于封堵系统漏洞)和访问控制(用于限制恶意软件的危害)。此外,经常备份独立于主生产系统的数据也可以让您快速、安全地从恶意软件感染中恢复。
为什么恶意软件会严重影响网络安全?
假设您在一个平常的办公室工作。一天早上,您来到办公室,沏好咖啡,然后打开电脑。这时一切都开始不对了。
正常的电脑桌面没有出现,取而代之的是一个带有挂锁和倒计时钟表的血红色屏幕。“您的文件已被加密”,上面写道。“如果不在 7 天内付款,你将无法恢复文件。”环顾四周,每一个同事都在自己的电脑上看到了同样的消息。无一例外。
2017 年 5 月,这种情景反复出现在全球各地的工作场所中,一个叫“ WannaCry”的恶意软件先后攻击了企业、政府,甚至是医院等重要公共服务机构。
但并非所有恶意软件都喜欢这么高调地显露身份。您也可能会运行非常隐蔽、令人毫无察觉的恶意程序,它会悄然拖慢您的系统速度,或者侵犯您的隐私。网络犯罪分子通常会设计这些程序来规避检测,并且只在准确满足相关条件时才有明显活动。
您可能无法阻止恶意软件,但可以通过及时获取信息并保持合理的安全措施,降低其破坏运维的可能性。
恶意软件的类型
为了更好地了解恶意软件的行为及降低风险的途径,我们可以将常见类型的恶意软件划分为若干类别。如有不慎,这些类型的恶意软件可以渗透到包括安卓移动设备和苹果笔记本电脑在内的任何设备当中。
恶意软件需要传播途径以及用于实现预期目标的代码。您可以将其理解为交付系统和攻击负载。以下是该结构的基本摘要,随后还将给出更详细的解释。
交付系统
特洛伊木马:诱使用户进行安装
蠕虫病毒:自我复制
它们可以组合成以下攻击方式:
漏洞利用:利用软件漏洞攫取对系统和敏感数据的访问权限
网络钓鱼:诱使用户提供可用于获取访问权限的信息
Rootkit 或 Bootkit:攫取管理访问权限,以规避检测并获得更多控制权
攻击负载
广告软件:显示令人讨厌的广告
僵尸网络:将设备置于外部控制之下
加密货币挖矿机:利用计算能力从事加密货币挖矿
勒索软件:索取钱财
间谍软件:通过键盘记录器或其他方式秘密收集数据
其他损害:数据损坏、故意破坏、蓄意捣乱
特洛伊木马
特洛伊木马,通常称为木马病毒,是指以社交工程的方式传播的可执行文件。木马病毒将自己伪装成其他的东西,从而说服不知情的用户将其打开,进而启动可执行文件。一种常见的策略是攻击者诱使用户打开用于安装恶意软件的文件或 Web 链接。例如,像恐吓性软件之类的木马病毒会诱导用户认为特定程序有助于保护其计算机,而事实恰好相反。
此外,用户可能会安装一个看起来很有用的应用,例如一个漂亮的浏览器工具栏或一套有趣的表情包,但它同时也包藏着恶意软件。另一项木马病毒技术会将自动安装的恶意软件写入 U 盘(或 USB 驱动器),随着 U 盘的流动传递给不知情的用户。当远程访问木马病毒(RAT)恶意软件渗入到您的设备后,网络犯罪分子便可利用它操控您的设备。
蠕虫病毒
蠕虫病毒就像虫子一样慢慢蠕动,闯入别人的地方。20 世纪 70 年代出现了第一批试验性电脑蠕虫病毒,当时它们只是简单地复制自己。80 年代出现了更具破坏性的自我复制蠕虫病毒,它们成为第一批广为人知的电脑病毒。这些病毒通过软盘上受感染的文件在个人电脑之间传播,感染可以访问的文件。随着互联网的普及,恶意软件开发人员和黑客将蠕虫病毒设计为可以跨网络自我复制,使其成为了联网的企业和用户在早期受到的一大威胁。
漏洞利用
漏洞利用是指非法利用软件中的漏洞,以使软件执行其设计意图之外的某些操作。恶意软件可能会利用漏洞进入系统,或从系统的某处移动到另一处。许多漏洞利用都依赖于已知的漏洞(也称为 CVE),因为很多用户都不会及时装上安全补丁来保持系统为最新状态。“零时差漏洞利用”是另一种不太常见的情况,它会利用还没被软件维护人员修复的重大漏洞。
网络钓鱼
网络钓鱼也是一种社会工程形式,攻击者试图通过欺骗性请求(例如伪造的电子邮件或录用骗局)诱使用户提供敏感信息或个人数据。网络钓鱼攻击作为获取密码和登录凭据或盗用身份的一种策略,有时是恶意软件攻击的先兆。
Rootkit 和 Bootkit
Rootkit 是一组旨在获得对系统的完全控制,继而隐匿踪迹的软件工具。Rootkit 可实际取代系统的正常管理控制。Bootkit 是一种高级 Rootkit,它可以在内核级别上感染系统,因而具有更多的控制权,也更难以检测到。
广告软件和间谍软件
广告软件会向您的设备投放大量不需要的广告,比如 Web 浏览器中的弹出窗口。间谍软件是它的近亲,主要是收集您的信息并将其传送至其他地方。间谍软件既包括监控您互联网活动的跟踪器,也包括复杂的间谍工具。间谍软件可以包括击键记录器或键盘记录器,它们记录用户键入的任何内容。除了侵犯您的隐私之外,间谍软件和广告软件还会拖慢您的系统速度并阻塞您的网络。虽然运行 Windows 系统的计算机历来是恶意软件的首选目标,但 macOS 用户也同样容易受到弹出式广告和伪装成合法软件的潜在恶意程序(PUP)的攻击。
僵尸网络
僵尸网络恶意软件会将设备的控制权转交给外部方,从而使该设备成为由受感染设备构成的大型网络的一员。僵尸网络通常用于执行分布式拒绝服务(DDoS)攻击、发送垃圾邮件或进行加密货币的挖矿。网络上任何不安全的设备都很容易受到感染。僵尸网络通常都有办法来扩张其设备网络,而且其复杂程度足以同时或按顺序进行多种恶意活动。例如,2016 年的 Mirai 恶意软件攻击就是利用由互联网连接的摄像头和家用路由器形成了一个庞大的 DDoS 僵尸网络。
勒索软件
勒索软件是要求用户为某个东西付费的恶意软件。许多常见的勒索软件都是对用户系统上的文件进行加密,并要求用比特币作为赎金来换取解密密钥。勒索软件的问题从 2000 年中期开始变得较为突出。至今,勒索软件攻击仍是最严重和最普遍的电脑安全威胁之一。
短信钓鱼
短信钓鱼或短信网络钓鱼是一种相对较新的恶意软件形式,骗子通过短信发送恶意软件链接,诱导用户点击链接并下载伪装成应用的恶意软件。网络钓鱼者可能会伪装成金融机构、政府机构或客户支持团队,企图诱骗用户提供密码、信用卡信息或其他个人数据。
其他损害
有时,恶意软件开发人员或操作人员的目标是销毁数据或破坏某些内容。早在勒索软件构成问题之前,第一个引起大众媒体关注的恶意软件程序是 1992 年的米开朗基罗病毒。该病毒曾试图在某个特定日期(3 月 6 日)覆盖受感染 PC 的磁盘驱动器。多年后,2000 年,ILOVEYOU 病毒以 Visual Basic 脚本的形式在用户之间广泛传播(作为电子邮件的附件发送)。运行时,它会删除各种文件,并将自己的副本通过电子邮件发送给用户地址簿中的每个人。
而以现代恶意软件的标准来看,有些病毒却非常古怪。比如 Stuxnet 就是其中的典型。2010 年,安全防护社区发现了一种令人费解且高度复杂的蠕虫病毒,其设计意图是篡改特定类型的工业设备。许多安全专家至今都认为 Stuxnet 是由美国和以色列政府设计的,旨在破坏伊朗的核武器计划。(没有任何政府正式承认对此事负责。)如果猜测属实,那么这就是一个新兴恶意软件的案例:一次由国家资助的网络攻击。
您如何防范恶意软件?
防范恶意软件的最佳方法就是不被感染。除了防病毒或反恶意软件可以提供帮助,目前还可以通过其他安全防护解决方案来提高复原能力。
采用零信任安全防护架构
几十年来,企业的网络安全的设计方式都是通过防火墙及其他安全防护措施将受可信网络或内部网络与外部世界隔离。这个边界内的(或通过 VPN 等远程方法连接的)人或端点,要比边界外的人或端点获得更高级别的信任。这就造成了“外硬内软”的情况,一旦进入就很容易被不法分子穿透。为了管理漏洞,企业逐渐采用更精细的零信任网络访问(ZTNA),它可对访问进行分段并限制用户对特定应用和服务的权限。
减少攻击面
最大限度减少向互联网开放的系统、应用及端口的数量。
用户教育
用户应该学会对电子邮件中的链接和附件抱有疑心,无论它们看起来有多么真实可信。通过用户教育还可以解释内部威胁将如何导致恶意软件攻击。
检测
越早发现恶意软件感染,就能越早修复受感染的系统。请记住,有些恶意软件真的是深藏不露。防病毒或反恶意软件工具需要定期更新其检测签名以监测新的衍生版本,而且最好使用多种恶意软件检测方法。
补丁管理
由于软件维护人员通常会尽快修补安全漏洞,因此运行最新版的安全防护软件(并及时更新整个系统)可以降低感染恶意软件的风险。采用有效的补丁管理,您就可以确保整个企业的所有系统都能及时获取安全补丁。请经常检查并应用更新,以防已知的漏洞被利用。
访问控制
管理员控制权限应仅提供给受信任的应用和真正需要使用它的用户。这样,即便有恶意软件攻击您的电脑,也会难以感染系统的核心功能。请定期检查您的管理员控制权限。尽可能要求使用多重身份验证以确保访问安全。
数据备份和加密
在恶意软件攻击期间,正确的数据安全防护可以发挥巨大的作用。即使出现最坏的情况——也就是恶意软件攻破了您的系统,您也可以通过故障切换而转移到感染前的干净备份上。简单来说,这就表示备份数据可以保持隔离状态,因此恶意软件无法损坏或删除它。此外,最好对数据进行加密,这样恶意软件所泄露的任何数据就毫无用处。实际上,根据企业规模和复杂程度,您可能需要一系列组合策略。对于大型企业而言,在备份和加密方案中,混合云环境下的软件定义存储解决方案提供了极大的灵活性。
所有计算机系统都存在漏洞,而这正是恶意软件开发人员一直在全力寻找和利用的目标。所以恶意软件安全防护是一个永不停止的主题。
红帽 IT 安全技术指南提供了有关如何制定安全策略、流程和规程的更多信息。