惡意軟體預防-最佳作法

General Information ID:    INFO1295
Version:    1.0
Published:    01/21/2010

Description

預防惡意軟體感染
在您的網站上預防惡意軟體,其實比想像中容易。您不需要耗費太多額外的時間、金錢與資源,就能保護您的系統。只要遵循最佳的預防作法並運用現有資源,您就能大幅減少自家網站上出現惡意軟體的機會。
請與您的開發人員和伺服器管理員探討這些秘訣及準則。瞭解您的公司是否已採用這些最佳作法,以及採用情況。然後根據這些最佳作法,以及您信任的管理員其所提出的建議,來制定管理與開發原則,

備份您的網路伺服器!
●  也許,最重要的預防措施就是確實地為最壞情況做好準備。當您的網站感染惡意軟體又無法刪除時,該怎麼辦?在這種情况下,您會希望能確定用來營運網站的一切都可回復原狀。
●  維護備用且隨時更新的備份網路伺服器。如果使用中的伺服器遭到感染,您可以切換至乾淨的備份伺服器。在您清理受到感染的伺服器時,您的客戶不會遇到服務暫停的情況。
●  如果維護備用備份會耗用大量成本與資源,請確定所有的作業系統和應用程式軟體,包含所有的修補程式和維護版本,都擁有備份副本。
●  特別要確定的是,您有定期備份所有資料。如果有任何業務或客戶資料遭到洩露或損害,您可以在最短的特定功能暫停使用期間內還原資料,而不用關閉整個網站。

防護網路伺服器的安全。
●  必須維護使用者存取的安全。您的管理員和開發人員應使用強密碼、定期變更密碼,或使用由信任管理員發出的存取認證。
●  遵循「最小權限原則」。要知道誰擁有伺服器的存取權,同時確定只有這些需要存取的人才擁有權限。此外,按照個人逐一限制使用者權限;僅提供管理員與開發人員他們從事工作所需的權限。
●  檔案傳輸必須加密。使用安全 FTP (SFTP) 或安全副本 (SCP) 工具來傳輸檔案。FTP 工具不加密。

● 實施安全應用程式開發。在您的後端程式碼中,確認使用者輸入類型並消除安全缺口(稱為「漏洞」),例如:緩衝區溢位、SQL 注入與跨網站指令碼。

●  在您的客服網站上,請勿提供任何客戶不需要的資訊,因為這些資訊可能會被攻擊者利用。例如,在錯誤訊息中請勿顯示伺服器類型或版本,或者表示「我們無法連結資料庫」。不要提供具體的登入錯誤,像是「您的密碼錯誤」,這種訊息等於告訴攻擊者存在一個具備此使用者名稱的帳戶。

信任鍵盤前的人。
●  確保每一個擁有網路伺服器存取權的人,都瞭解且熟知社交工程 方法。社交工程就是說服某人去做某件事或交出機密資訊,方法通常是假扮權威人士或具影響力的人士。有句話說:「對付人要比對付機器來得容易。」
●  惡意軟體可以透過社交工程,在不用接觸您網路伺服器的情況下展開攻擊。只要一點有關您公司的資訊,攻擊者就可以透過電話假扮公司高階主管或外部權威人士(例如警察或律師)。如果攻擊者具有足夠的說服力,他們可能說服資淺的開發人員,讓他們不知不覺地安裝或鏈結惡意軟體。
●  要相信與信任可存取您網路伺服器的所有人。但無論您多麼相信他們,您的伺服器都應當追蹤使用者登入以及他們登入後的所有動作。
●  信任和責任性是預防大部分直接威脅(內部職務,來自員工或同事的刻意攻擊)的關鍵。無論是源自於個人原因或外部人士強制使然,這個人已掌握在您網路伺服器上放置惡意軟體的所有存取權與權限。
●  無論進行任何的網站變更,都必須要有明確的登出程序。您還應當制定重要人士不在場時的緊急應變計劃,以便在聯絡不上伺服器管理員時,每個人都知道該怎 
麼辦。

您的網路伺服器只能用來做一件事,這件事就是:營運您的網站。
●  請勿使用此伺服器來瀏覽 Web,查看您的電子郵件、即時訊息、部落格上的休假動態,或傳送您母親在上週家族聚會中所拍攝的照片。攻擊者試圖闖進伺服器已經夠讓您擔心了,千萬不要因為您主動漫遊網際網路而讓他們有機會向外散佈。
●  從網路伺服器移除所有不使用的程式。熱門應用程式有時會有一些已知漏洞,這會讓攻擊者有機可趁。因此如果程式不使用,請移除程式以免它成為潛在攻擊點。
●  如果可以,從伺服器移除軟體文件並儲存至他處。因為文件包含應用程式名稱、版本號碼與錯誤修正程式,這些會讓攻擊者得知伺服器上有哪些內容,還有如何獲得存取權。

除了修補程式還是修補程式。隨時更新您的伺服器軟體、作業系統和應用程式。

●  瞭解伺服器上有哪些軟體。針對伺服器安裝的所有作業系統與應用程式軟體製作一份清單,其中包括版本號碼。
●  隨時更新伺服器上的所有軟體,並且執行最新版本。較新的版本通常會包含已知漏洞的修正程式。漏洞修正程式可以關閉一些駭客與惡意軟體社群深知如何利用的缺口。進一步瞭解惡意軟體。請參閱知識庫文章 AR1293:惡意軟體簡介。
 
 

Knowledge Center


Search Tips