国家标准 GB/T40652一2021 信息安全技术恶意软件事件预防和处理指南 Informationsecuritytechnology- Guidetomalwareincidentpreentionandhandlling 2021-10-11发布 2022-05-01实施国家市场监督管理总局发布国家标涯花警理委员会国家标准
GB/T40652一2021 次目前言范围 2 规范性引用文件 3 术语和定义缩略语 4 规划和准备 5.1概述 5.2事件响应小组 5.3基本预防措施 5.4安全意识教育 5.5脆弱性防范 5.6恶意软件防范发现和报告 6.1概述 6.2恶意软件事件发现评估和决策响应 10 8.1概述 8.2恶意软件事件响应计划 8.3恶意软件事件遏制 10 8.4识别被感染主机 ll 8.5恶意软件的根除 12 8.6恶意软件事件溯源 12 8.7系统恢复 13 经验总结 13 附录A(资料性恶意软件事件处理场景 14 附录B资料性)遏制恶意软件常用技术 18 23 参考文献
GB/40652一2021 前言本文件按照GB/T1.1一2020<标准化工作导则第1部分;标准化文件的结构和起草规则》的规定起草请注意本文件的某些内容可能涉及专利本文件的发布机构不承担识别专利的责任本文件由全国信息安全标准化技术委员会(SAC/TC260)提出并归口本文件起草单位;科学院大学、西安电子科技大学、国家计算机病毒应急处理中心、科学院信息工程研究所、奇安信科技集团股份有限公司、北信源软件股份有限公司、航空综合技术研究所本文件主要起草人;张玉消、何远、刘奇旭,王鹤、杨毅宇,王文杰、王基策、陈建民、付安民,李学俊钟力、刘兴安、张肿斌,张永印、林刃、孙鸿宇,刘新建
GB/T40652一2021 信息安全技术恶意软件事件预防和处理指南范围本文件在GB/T20985.1一2017和GB/T20985.2一2020的基础之上,针对恶意软件事件的预防和处理过程给出了进一步指南本文件适用于计算机系统管理人员、网络管理人员,安全事件响应小组等预防和处理恶意软件事件规范性引用文件下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款其中,注日期的引用文件,仅该日期对应的版本适用于本文件;不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件 GB/T20985.1一2017信息技术安全技术信息安全事件管理第1部分;事件管理原理 GB/T20985.2一2020信息技术安全技术信息安全事件管理第2部分;事件响应规划和准备指南 GB/T25069信息安全技术术语术语和定义 GB/T25069界定的以及下列术语和定义适用于本文件 3.1 恶意软件 1alware 被专门设计用来损害或破坏系统,对保密性、完整性或可用性进行攻击的软件注:病毒和木马是恶意软件的例子 [来源;Iso/IEC27033-1;2015,3.22 3.2 恶意软件事件 mmalwareincident 由恶意软件引起,并造成保密性、完整性或可用性破坏的信息安全事件 3.3 防病毒软件 antivirussoftware 监控主机和网络的程序,通过恶意软件的特征、白名单和异常行为等检测恶意软件,并能识别和清除恶意软件注防病毒软件又称为反病毒软件,杀毒软件 3.4 病毒yirus 在计算机程序中插人破坏计算机功能或者数据,影响计算机使用并且能自我复制的一组计算机指令或程序代码 [来源:GB/T314992015,3.67
GB/T40652一2021 3.5 勒索软件 ransomware 采取加密或屏蔽用户操作等方式劫持用户对系统或数据的访问权,并借此向用户索取赎金的恶意软件 3.6 后门 backd00r 可以绕过系统的权限管理机制,接收并执行来自特定端口请求的恶意软件恶意移动代码malieiosmobilece 带有恶意意图并能够通过远程主机传播到本地主机,无需用户主动触发就可以在本地自动执行的代码 3.8 间谍软件 spyware 从计算机窃取用户隐私或保密信息的恶意软件注:信息可能包括最频繁访问的网站或密码之类的更敏感信息的事项 [来源;IsO/IEcC27032;2012,4.43] 3.9 Rootkit恶意软件 rootkitmalware 隐藏在目标系统内部,能够以内核态或用户态权限运行,并对系统功能调用请求进行拦截和篡改以及秘密收集目标系统信息的恶意软件 3.10 默认拒绝 denybydefault 防火墙或路由器的配置项,除了明确允许通过的网络数据外,在默认情况下拒绝其他所有网络数据 3.11 事件响应小组 incidentresponseteam;IRT 由组织中具备适当技能且可信的成员组成的团队,负责在事件生存周期中处理事件注:IRT通常被称为CERT(计算机应急响应小组)和csIRT(计算机安全事件响应小组) [来源;GB/T20985.1一2017,3.2] 缩略语下列缩略语适用于本文件 BHIOS:基本输人输出系统(BasielInput uu/oupsystem DDoS;分布式拒绝服务攻击(DistributedDenialofService) HTTP;超文本传输协议(HypertextTransferProtocol ntrusionDeteetion DS:人侵检测系统(In System tofThings)y oT;物联网(Internet nternetProtocol P:网际互连协议(In trusionPrevention PS:人侵防御系统(Intr Sys tem versalSerialBus)) USB;通用串行总线(Univ
GB/T40652一2021 规划和准备 5.1概述 GB/T20985.1一2017的5.2和GB/T20985.2一2020的第4章第11章的指南适用并且,以下事件响应小组,基本预防措施、安全意识教育、脆弱性防范、恶意软件防范等特定的指南适用 5.2事件响应小组 5.2.1概述在GB/T20985.1一2017中5.2的c)d)和GB/T20985.2一2020的第7章基础上给出如下进一步指南组建事件响应小组时应综合考虑以下内容 5.2.2小组职责组织宜依托事件响应小组,负责恶意软件事件的响应工作,制定针对恶意软件事件的处理流程,并参照事件处理流程对安全事件响应小组成员分配不同的角色经常对小组成员进行安全培训,保证小组成员能及时准确地对恶意软件事件做出反应及进行处理 5.2.3人员技能恶意软件事件处理人员宜掌握以下技能了解已知的典型恶意软件感染和传播的主要特征 a 熟悉组织配备的恶意软件检测工具和相关配置情况会使用所配备的工具,能分析相关数据并 b 确认特定的威胁有一名以上事件处理人员熟练使用计算机取证工具 c 对信息技术广泛了解,能预判恶意软件事件对组织带来的威胁或影响,为遏制、根除恶意软件 d 事件的威胁或影响以及恢复信息系统正常工作做出对应的决策恶意软件事件的常见场景见附录A 有一名以上具备高级语言编程能力的维护人员 5.2.4安全服务外包要求组织无法满足恶意软件事件响应人员的技能要求和团队要求时,宜考虑安全服务外包,并满足以下要求与外包服务商签订相关协议,确保能及时处理恶意软件事件; a b 外包服务商无法及时达到现场处理时,可实施远程指导; 外包服务商平时给予定期或不定期安全检查 c d 外包服务商了解各项业务功能及其之间的相关性,确定支持各种业务功能的相关信息系统资源及其他资源,明确相关信息的保密性、完整性和可用性要求; 外包服务商应协助用户建立适当的应急响应策略,能及时对业务中断、系统宕机、网络瘫痪等突发安全事件造成的影响进行评估,并在事件发生后提出快速有效的恢复信息系统运行的方法; 外包服务商提供相关的培训服务,以提高用户的安全意识,便于相关责任人明确自己的角色和责任,了解常见的安全事件和人侵行为,熟悉应急响应策略
GB/T40652一2021 5.2.5工具和资源安全事件响应小组成员宜配备必要的工具和资源,具体如表1所示恶意软件事件处理工具和资源表 1 工具/资源说明恶意软件事件处理人员的通讯方式组织内部和外部小组成员的联络信息(例如,电话号码,邮件地址、手机号码等),以及防病毒联络信息软件提供商和其他事件响应小组的联络信息等在线设备提供给组织内其他小组的即时更新信息、升级信息等互联网遭遇严重恶意软件事件以致网络无法连接时,需要使用其他方法来寻找有关新威胁的信息、连接替补方案下载补丁和实时更新分析恶意软件事件的软件和硬件工具便携式计算机用于分析恶意代码样本,主机日志及网络流量数据备用服务器、用来在独立环境中测试恶意软件;如果安全事件响应小组无法确定额外设备的代价,可以考网络设备虑使用测试实验室中的设备,或者使用操作系统仿真软件建立虚拟实验室用来保存和传输恶意软件样本的存储设备,如UsB盘,光盘等存储设备分别用来抓取数据包和分析网络流量的包嗅探器和协议分析仪;最新的未被感染的操作系统分析工具和分析工具;用来检测可能存在恶意软件感染的软件例如,防病毒软件、恶意软件专杀工具系统管理软件,网刚络取证工具) 恶意软件事件分析资源端口列表包括常用端口和已知木马和后门端口号包含操作系统、应用程序,协议.反病毒和人侵检测标记等信息的文档相关文档关键资源目录关键资源的图标和目录如网站、电子邮件和文件传输服务器基线网络、系统和应用程序话动的预期基线恶意软件事件处理软件工具软件包括操作系统启动盘、操作系统安装盘、应用程序安装盘等安全补操作系统和应用程序供应商提供的安全补丁镜像软件操作系统、应用程序、存储在辅助存储设备中的备份镜像 5.3基本预防措施 -步指南在GB/T20985.l2017的5,2c)和GB/T20985.22020的6,4a)基础上给出如下进一制定基本预防措施时应综合考虑以下内容 a 限制用户使用管理员级别的特权 b 及时升级操作系统和应用程序的版本,并及时下载、安装补丁修复相关漏洞指明哪种类型的系统(例如文件服务器、电子邮件服务器、代理服务器)和应用程序(例如电子 c 邮件客户端、浏览器)需要哪些对应类型的安全预防软件(如防病毒软件,恶意软件专杀工具)，同时为配置和维护软件列出相关要求(比如软件更新频率、系统扫描范围);
GB/T40652一2021 ) 通过组织安全管理部门的批准,方可访问其他网络(包括互联网); 对防火墙宜进行统一管理、监测和审计; ee fD 对终端设备设置BIOSs口令; 及时备份重要数据和文件,备份系统与原系统隔离; g h) 保存资产清单,以便及时了解需要保护的内容并对其进行漏洞评估 5.4安全意识教育在GB/T20985.1一2017的5.2g)和GB/T20985.2一2020的第10章基础上给出如下进一步指南安全意识教育相关内容如下不宜打开未知来源的电子邮件或者电子邮件附件,不通过电子邮件发送或接收可执行文件; a 不宜使用与业务不相关的软件 b 不宜点击可疑的浏览器弹出式窗口; d 不宜点击可疑的网络地址链接; 不宜访问可能含有恶意内容的网站; 不宜打开可能与恶意软件相关联的文件; 不宜关闭防病毒软件,恶意软件专杀工具、防火墙等安全软件; g h 不宜使用管理员级别的账户进行常规操作; 不宜下载或执行来自不可信任(如陌生网站)来源的应用程序; j 不宜通过电子邮件回复金融或个人信息,组织不宜通过电子邮件要求得到这些信息 kk 在回复电子邮件或自动弹出式窗口时不应提供任何账号、密码或者其他登录凭证,只在组织内部网站中使用这些信息; D 如果收到可疑的附件(如陌生人发送的邮件),宜通过电话等方式联系发送者确认附件的真实性; m不宜回复任何陌生的或无法确认的电子邮件 n)宜定期对自己的账户密码进行修改并注意加强密码强度,并实施有效的权限管理机制,结合生物特征识别等技术手段对账户信息进行加密保护不宜在互联网上随意登录组织内部的邮箱,宜对垃圾邮件进行及时过滤或清理 o 5.5脆弱性防范 5.5.1概述在GB/T20985.1一2017的5.2)和GB/T20985.2一2020的6.4a)基础上给出如下进一步指南进行脆弱性防范时应综合考虑以下内容 5.5.2补丁管理补丁管理宜做到以下几点从官方渠道获取补丁; a b)评估补丁对系统的影响,在安全隔离的环境(对其他设施或系统不造成影响的环境)测试补丁，并记录补丁的评估和决策过程; 及时测试新补丁并对漏洞进行修复,确认软件漏洞没有对应补丁的情况下,宜利用其他的脆弱性缓解技术或安全防御技术来预防恶意软件事件的发生; d 测试补丁的可利用性时,满足补丁对组织中每一个易受攻击的系统都有效,特别是远程系统例如远程办公系统等).
GB/T40652一2021 5.5.3最小特权原则使用最小特权原则宜做到以下几点: 对组织内的信息系统优先利用最小特权原则 a 对组织内的服务器、网络设备、应用程序等,进行用户分级管理,对不同级别的用户赋予满足需 b 求的最低权限 5.5.4其他预防措施除了利用安全软件等预防恶意软件,组织宜用如下措施加强预防卸载/禁用与业务无关的服务或端口,如445端口等; a 删除不安全的文件共享; b 删除或者更改操作系统和应用程序的默认用户名和密码 c d 使用网络服务之前对使用者进行身份验证通过修改操作系统配置项,禁止自动运行二进制文件和脚本程序,关闭自动播放策略 e 5.6恶意软件防范 5.6.1概述在GB/T20985.12017的5.2和GB/T20985.2一2020的6.4a)基础上给出如下进一步指南进行恶意软件防范措施时应综合考虑以下内容 5.6.2安全软件部署和管理组织部署和管理安全软件时宜考虑以下要点安装好操作系统后立即安装防病毒软件,更新最新的病毒特征库,并安装防病毒软件补丁 aa b 正确配置防病毒软件,确保防病毒软件可以持续有效地检测和阻止恶意软件攻击对统一集中管理的计算机由安全管理员定期监测防病毒软件的运行情况管理员通常负责获取、测试、核实、发布病毒特征库,并在组织内进行更新安全管理员进行定期检查,确保系统配置正确并正在使用最新的防病毒软件 d 部署集中管理的防病毒软件时,组织确保网络和服务器可以满足日常更新和峰值更新时的 e 需求为预防服务器漏洞造成的影响,组织宜考虑使用不同的操作系统平台搭建防病毒服务器,而不 fD 是使用与组织中大多数服务器和工作站相同的操作系统为提高预防恶意软件的能力,在关健系统(例如电子邮件服务器)中使用多种防病毒产品 8 h 对组织的远程连接网点，组织宜考虑改造为统一集中管理无法统一管理时,及时发送消息给远程用户,提醒用户及时更新病毒特征库 i) 对用户进行安全知识培训,出现重大威胁时本地系统管理员和远程用户可有效配合执行操作为集中化管理相监测,组织决定应用程序如何分布、配置相维护,以及如何去监控患意软件的活动 k)用户不宜在系统中禁用或卸载防病毒软件,也不宜更改任何关键设置 I 用户在使用防病毒软件时宜根据系统抛示或安全管理员的要求及时升级软件,更新病毒特征库等 5.6.3防病毒软件组织内部署防病毒软件时,防病毒软件宜提供以下保护功能
GB/T40652一2021 扫描系统的关键组件,例如启动文件和引导记录等; a b 自动对外部存储设备(如移动硬盘、USB盘等)和电子邮件附件进行扫描; 实时检查系统中的可疑活动,例如扫描所有电子邮件附件防止已知病毒通过电子邮件传播 c d 监测常见的应用程序,例如浏览器、文件传输程序以及即时通讯软件的行为; 防病毒软件能监测可能被用于感染系统和向其他系统传播恶意软件的应用程序的活动 e 定期扫描所有硬盘驱动器,以便确认系统是否受感染;支持选择性地扫描其他存储设备,可以 f 按需求对外部存储设备执行手动扫描检测恶意软件,包括病毒、蠕虫、木马、勒索软件、间谍软件等; g h 清理注册表、恶意锁定主页等被恶意软件修改的启动选项隔离可疑对象; 定时自动更新病毒库; j 监测在系统启动时自动加载的进程和程序 k 5.6.4恶意软件专杀工具恶意软件专杀工具宜具备以下功能对特定的恶意软件目标,能够快速识别和定位,缓解恶意软件影响,从系统中根除恶意软件 b 定期扫描文件,内存和配置文件等,检测可能存在的特定恶意软件针对某些传播速度快、容易多次感染的恶意软件(例如USB盘病毒、勒索病毒等)提供免疫功能; 针对某些对操作系统功能造成破坏例如映像劫持、安全模式禁用、任务管理器禁用、注册表管理器禁用桌面菜单右键显示损坏,命令行工具禁用、无法修改浏览器主页、显示文件夹选项禁用等)的恶意软件,提供修复功能针对某些感染文件造成文件损坏的恶意软件,提供修复文件功能 5.6.5终端安全软件终端安全软件能限制主机出人网络的活动,既能阻止主机受感染又能阻止主机向外传播恶意软件配置终端安全软件时宜做到以下儿点: 为预防恶意软件事件,基于主机的防火墙对流人的数据采用默认拒绝规则,推荐组织结合实际 o 情况对流出的数据采用默认拒绝规则; 开启阻止网页浏览器弹出窗口、抑制服务器缓存文件(Cookies)以及识别网页和电子邮件中的 b 潜在信息泄漏等功能; 注:Cookies是指服务器发给客户端,并保存在客户端中的小型文本文件正确配置终端安全软件,能实时更新最新的病毒特征库和软件模块 c d 为预防网络蠕虫和其他威胁,可以通过终端安全软件来保护可直接访问网络的系统 5.6.6应用程序设置预防恶意软件事件宜考虑的应用程序设置如下: 阻止打开和运行可疑电子邮件的附件中的文件 a 过滤可疑内容,如过滤垃圾邮件和网站有害内容; b 限制可疑内容,如限制网页浏览器的服务器缓存文件(Cookies)5 c d 拦截网页浏览器的弹出式窗口; 防止自动启动宏应用,如办公软件中的软件宏语言自动运行
GB/T40652一2021 5.6.7区域边界防病毒设备组织宜在网络区域边界部署网络防火墙或IDs,IPS 配置网络防火墙或IPS时宜做到以下几点基于网络流量识别已知和未知恶意攻击,提供网络流量过滤功能,阻止异常流量的人侵 a b 有效监测出攻击应用程序如电子邮件服务器、网络服务器)的恶意活动; 识别蠕虫活动和其他形式的恶意软件,以及像后门和电子邮件生成器这样的攻击 d 开启默认拦截功能,但在特定条件下,设置允许使用或禁止使用拦截功能; 为预防恶意软件事件,设置默认拒绝规则集,拒绝任何没有被允许进出的数据通过; 为降低蠕虫的传播速度,考虑对外部系统(例如远程办公的家用系统、商业合作伙伴系统)的网络制定限制措施; 网络防火墙对进人和流出的数据包进行过滤,并确保每一条规则有效,定期审查网络防火墙控制访问列表,删除无效规则应配置网络地址转换功能,将内部网络的私有地址映射成连接到互联网中的一个或多个公共 h 地址,有利于阻止蠕虫攻击组织内部主机: 发生防病毒软件和人侵防御系统不能监测的重大恶意软件事件时,更改防火墙规则以阻止基于网络服务的恶意软件扩散阻止木马等恶意软件访问外部主机IP地址 6 发现和报告 6.1概述 GB/T20985.1一2017的5.3和GB/T20985.2一2020的6.4b),6.5,6.6,6.9中的指南适用并且以下恶意软件事件发现特定的指南适用 6.2恶意软件事件发现在GB/T20985.1一2017的5.3c)基础上给出如下进一步指南提前发现恶意软件事件的途径如下恶意软件预警公告防病毒软件提供商和其他安全相关组织发布的有关新的重大恶意软件或 a 威胁情报预警的公告 b 安全设备告警恶意软件的运行会导致防病毒软件等安全设备产生相关告警,这些告警意味着可能会发生恶意软件事件针对常见恶意软件,表2列出了恶意软件事件最有可能的迹象获得管理员权限的恶意软件的迹象没有在表2中列出表2恶意软件迹象恶意软件类型复合 |网络垃圾|特洛恶意恶意浏迹象宏病按键邮件型病服务邮件伊木移动后门 Rootkit 览器毒记录生成器毒蠕虫蠕虫马代码插件安全设备防病毒软件告警
GB/T40652一2021 表2恶意软件迹象(续患意软件类型复合网络垃圾|特洛恶意恶意浏迹象宏病按键邮件型病服务邮件伊木移动后门 Rootkit 览器记录毒生成器毒马蠕虫蠕虫代码插件安全设备专杀工具告警防火墙或IPs告警终端安全软件告警可观察到的主机活动系统无法启动系统启动时显示错误信息系统不稳定,并发生崩溃程序启动缓慢,运行缓慢,或无法运行系统启动项出现未知进程非常规的端口开放发送和接受的邮件数量突然增加文字处理软件、电子表格等模板更改浏览器配置更改,如主页更改或出现新的工具条文件删除、崩溃或无法访问屏幕出现异常图案，如奇怪的消息,图像、重叠或叠加消息框出现意外的对话框,请求允许运行程序观察到的网络活动网络流量明显增加脆弱服务如打开windows共享)的端口扫描和失败的连接尝试主机和未知远程系统存在网络连按事件处理人员在确认恶意软件事件时宜做到以下几点事件处理人员首先验证事件源是否为恶意软件在事件源不能轻易确认的情况下,通常假设事件是由恶意软件引起并采取对应响应措施,如果随后确定不是恶意软件引起可以更改处理措施事件处理人员与网络管理人员等合作,以便于确定数据来源除了常规的数据来源,事件处理人员了解并熟练使用防火墙和路由器日志文件、邮件服务器和IPs的日志文件在不产生额外威胁前提下,事件处理人员可以在一个被感染的正常系统或者一个恶意软件测试系统中来研究恶意软件的行为 d 分析人员准备一个移动存储设备,存放最新的检测工具(例如防病毒软件、恶意软件专杀工具
GB/T40652一202 等,并避免该移动存储设备被恶意软件感染 -旦事件处理人员检测了数据源,确定相关威胁的特性后,处理人员在防病毒服务提供商的恶意软件数据库中寻找这些特性,并以此确定具体是哪种恶意软件可以参考的恶意软件特性如下被攻击的服务和端口; 被利用的漏洞; 22 邮件主题、附件名称、附件大小、主体内容; 3 可能会受影响的操作系统、设备、,应用程序等; ！恶意软件如何感染系统(例如通过漏洞、错误的配置) 5 恶意软件如何影响被感染的系统,包括被感染文件的名称和位置、被更改的配置、被安装 6 后门的端口等; 恶意软件如何传播以及如何遏制 7 8 如何从系统中清除该恶意软件 fD 当新的安全威胁没有出现在恶意软件数据库中时,事件处理人员参考其他信息来源以尽快做出响应评估和决策 GB/T20985.1一2017的5.4和GB/T20985.2一2020的6.4c)中的指南适用制定评估和决策措施时应考虑其中内容响应 8 8.1概述 GB/T20985.12017的5.5和GB/T20985.2一2020的6.4d)中的指南适用并且,以下恶意软件事件响应计划、恶意软件事件遏制、识别被感染主机,恶意软件根除,恶意软件事件溯源和系统恢复特定的指南适用 8.2恶意软件事件响应计划制定恶意软件事件响应计划时宜考虑如下因素恶意软件如何进人系统,以及使用何种传输机制 a b 全面评估恶意软件事件的传播范围,以及带来的影响和损失; 通过分析得到的其他结论,如恶意软件的来源 c 服务对象的业务和重点决策过程服务对象的业务连续性; 确定受害系统的范围后,将被害系统和正常的系统进行隔离,断开或暂时关闭被攻击的系统" 确定恶意软件类型(例如病毒、蠕虫和特洛伊木马): 确定恶意软件的隐藏位置; h 持续监视系统和网络活动,记录异常流量的远程IP,域名、端口如果恶意软件事件没有被遏制,预判在接下来的几分钟、几小时、几天内的被感染情况 8.3恶意软件事件遏制遏制恶意软件常用技术见附录B,通过工具软件遏制恶意软件事件,宜结合以下措施 10
GB/T40652一2021 需停止或删除系统非正常账号、隐藏账号并更改口令,加强口令的安全级别; a b 挂起或结束未被授权的可疑的应用程序或进程关闭存在的非法服务和不必要的服务 c d 删除系统各用户“启动”目录下未授权的自启动程序使用命令行管理工具或第三方工具停止所有开放的共享服务; ee 使用防病毒软件或其他安全工具检查文件,扫描硬盘上所有的文件,隔离或清除病毒、木马、蠕 fD 虫和后门等恶意软件文件; 在相关法律规定范围内设置陷阱,如蜜罐系统或者反击攻击者的系统; h) 通过防病毒软件等自动检测并遏制; 通过配置实现拒绝接收具有某些特性的邮件或附件,阻断恶意软件通过邮件传播; ,IPS或终端安全软件遏制恶意软件根据恶意软件的特性,通过防火墙、I j k 暂时关闭恶意软件使用的服务来遏制恶意软件,清除恶意软件后再恢复服务; D 无法使用关闭服务进行遏制的恶意软件,可在对恶意软件的特征进行分析后,通过重新配置网络把被感染主机从网络中断开; m 事件处理人员无法遏制恶意软件时,宜及时与专业部门联系并获得支持 8.4识别被感染主机 8,4.1 常规识别常规识别被感染主机时宜结合以下工具或数据恶意软件查杀工具如防病毒软件、恶意软件专杀工具、终端安全软件等 aa b 网络设备日志防火墙、路由器和其他过滤设备,它们记录了网络连接活动攻击特征收集路由器(例如Sinkhole路由器)数据,它记录了所有的网络流量 c 注;sinkhole路由器是通过特殊配置后,专门用来记录攻击流量特征的特殊路由器 d 应用程序服务器日志如电子邮件和HTTP服务器等网络取证工具如网络取证分析工具和数据包嗅探器 8.4.2主动识别主动识别恶意软件宜使用如下方法通过编写本地脚本识别一些恶意软件 a 自定义防火墙、,IPS或IDS特征制定一个自定义的防火墙,IPS或者IDS特征,可以有效检 b 测恶意软件包嗅探器配置包嗅探器并寻找特定恶意软件威胁对应的数据包,可以有效识别被感染主机 c d 漏洞评估软件用来识别主机漏洞的软件也可以检测一些已知的恶意软件主机扫描器如果某个恶意软件在被感染主机中安装后门,这些后门程序在运行时会使用某个特定端口,使用主机扫描器就可以有效识别被感染主机其他扫描器除了主机扫描器外，一些特殊的配置或者大小特定的系统文件都可能暗示主机 f 被感染 8.4.3 手动识别手动识别恶意软件宜考虑如下因素主机多系统使得识别被感染主机非常困难一些主机可以启动多个操作系统或者使用虚拟机软件;一个操作系统实例被感染时,如果目前正在使用另一个操作系统,那么也无法识别出来 11
GB/T40652一202 b 漏洞未修复可能会影响准确识别被感染主机,由于系统存在没有修复的漏洞时,可能会再次感染一些恶意软件会删除其他恶意软件的痕迹,这将导致部分或全部恶意软件没有被检测到 c 在大规模恶意软件事件发生时,利用准备阶段的资产清单,识别被感染的主机,制定有效遏制方案没有集中管理的环境下,借助网络设备来定位被感染主机当怀疑主机被感染时,可将其从网络中断开,然后等待该用户报告断网先处理确定被感染的主机,对不能确定是否感染的主机,采取事先商定的措施处理 f) 向用户提供恶意软件相关信息和工具,如被感染的迹象、防病毒软件、操作系统或应用程序补 g 丁、扫描工具,让用户自己判断是否被感染 h)无法识别被感染主机,不能彻底解决恶意软件事件时,向安全服务公司寻求帮助 8.5恶意软件的根除 8.5.1典型根除措施根除恶意软件宜考虑如下措施清理系统中存在木马、病毒、恶意代码程序 a b 恢复被黑客篡改的系统配置,删除黑客创建的后门账号删除异常系统服务、清理异常进程 d 根除恶意软件后,修复系统缺陷,关闭危险服务如文件共享等). 如果恶意软件无法彻底根除,则重新安装操作系统、应用程序、从已知安全备份中恢复数据部分感染会在数天、数周、数月内重复发生事件处理人员需要周期性地进行识别工作,以继续寻找被感染的系统,并确保根除工作的成功实施应急服务提供者使用可信的工具进行安全事件的根除处理,不得使用受害系统已有的不可信 8 的文件和工具 h 根除后门等恶意软件时,需要了解攻击者人侵的方法,制定封堵策略,以防止被二次人侵感染 i 改变全部可能受到攻击的系统账号和口令,并增加口令的安全级别增强防护功能复查所有防护措施的配置,比如安装最新的防火墙和防病毒软件,并及时更新，对未受保护或者保护不够的系统增加新的防护措施 8.5.2Rootkit根除根除Rootkit时宜注意以下几点对感染Rootkit或者极有可能感染Rootkit的系统,通过重新安装和配置操作系统及应用程序 a 实现根除; b 一个或多个攻击者得到系统管理员级别访问权限,考虑可能感染Rootkit; 任何人都可以通过一个后门得到非授权管理员级别访问权限,利用蠕虫或其他方式创建不安全共享,可按感染Rootkit进行处理 d 系统文件被特洛伊木马、后门RRootkit,攻击工具等替换,按感染Rootkit进行处理 e 使用防病毒软件,恶意软件专杀工具完成根除工作后,系统不稳定或者运行出现异常,按感染 Rootkit进行处理 8.6恶意软件事件溯源恶意软件事件跟踪溯源时宜注意以下几点 12
GB/T40652一2021 当检测到恶意软件攻击事件时,需记录攻击源IP,攻击发生的时间、恶意软件类型,被攻击的 a 目标,攻击导致的影响,并向上级部门报告; b 通过协议分析工具进行网络流量分析,查找疑似的恶意软件命令控制服务器,然后对命令控制服务器作进一步的探测; 在本机使用诸如进程查看工具等相关主机行为监测分析工具,结合系统日志等信息,获取恶意软件产生的攻击痕迹; d 如果获得恶意软件样本,可通过静态分析、动态调试等方法,或在沙箱中对恶意软件样本进行分析,获取恶意软件可能使用的域名、IP地址,通信端口等信息,以及其攻击方式和执行流程、并进一步探测其攻击源头; 将上述恶意软件相关信息,结合威胁情报、知识库等信息,实现恶意软件事件的追踪溯源 8.7系统恢复系统恢复时宜注意以下几点: 感染恶意软件后,如果操作系统功能正常,用防病毒软件根除恶意软件 a b 对于破坏性强的恶意软件,造成系统数据文件或驱动程序被删除,处理这些事件时先重建系统 -个完好的备份中恢复系统,随后采取一些安全措胞以保证系统不会再次感染; 或从一事件响应小组考虑可能遇到的最坏情况,并考虑这些情况下如何恢复系统,确定谁执行恢复工作,估计所要花费的时间,决定恢复活动的先后顺序; 恶意软件根除后,取消遏制措施,如果无法确定取消遏制措施后是否会被再次感染,宜继续执 d 行遏制揩施,直到威胁解除为止经验总结 GB/T20985,1一2017的5.6和GB/T20985.22020的6.4e)、第12章中的指南适用并且,以下恶意软件特定的指南适用恶意软件事件处理完毕后,结合网络流量、系统日志、web日志记录、应用日志、数据库日志以及安全产品数据,调查造成安全事件的原因,确定安全事件的威胁和破坏的严重程度根据整个事件的情况撰写恶意软件事件应急响应报告,文档中阐述整个安全事件的现象、处理过程、处理结果、事件原因.并给出相应的安全建议最后根据事件的处理过程总结经验 a 改进安全策略例如,以.scr结尾的邮件附件常被用来传播恶意软件,通过更改安全策略阻止这类邮件就可以预防系统被再次感染提高用户安全认知,更新安全认知培训内容,使用户能够正确报告事件并协助处理事件 b 更改操作系统或应用程序的设置,以支持新的安全策略 c 部署新的检测系统或软件如果原有的系统或软件无法有效防御恶意软件事件,则可以考虑 d 更新对应的检测系统或软件重新配置恶意软件的检测系统或软件检测系统或软件可能需要按照不同方式重新配置例如: 1加快软件和特征库的更新速度; 2 改进检测的准确性(如更少的误报和漏报); 33 增加监控的范围(如监控额外的传输机制监控额外的文件和系统文件); 根据检测到的恶意软件改变自动执行活动 13
GB/T40652一2021 附录 A 资料性) 恶意软件事件处理场景 A.1 概述恶意软件引发的安全事件日渐增多,恶意软件可导致组织的信息系统运行异常、数据丢失和隐私泄漏等安全问题,对信息系统安全造成严重威胁恶意软件事件处理的实践是提高恶意软件事件应急处理能力和发现潜在问题的有效方式在这些实践活动中,恶意软件事件响应小组的成员将会了解恶意软件事件的基本情况,在面对一些相关的问题时,小组将会讨论出现的情况并给出最理想的解决方案这样做的目的是明确处理人员在现实中遇到同样的问题时的处理方法,并且与推荐的策略进行比较,以查明其是否有缺点和不足如下所列出的问题几乎适用于所有恶意软件事件处理情况,每种情况附有相对应的问题,组织宜在应急处理实践中考虑这些问题 A.2场景所对应的问题场景所对应的问题如下准备/预防 a -为了防止这种情况的发生和减小它的影响,采取了什么措施？ b)检测和分析这种恶意事件有哪些前兆呢?如果有的话,组织能检测到吗？哪种前兆将促使组织采取预防措施? 组织能检测到哪种前兆?哪种前兆将导致人们认为恶意软件事件可能已经发生了? 应急处理小组怎么样分析和验证这类事件？组织把这类事件向谁汇报呢?" 事件响应小组如何确立处理这类事件的优先顺序？" 遏制,清除和恢复处理小组采取什么样的策略来遏制这类事件”这种策略比其他策略好在哪里？ -如果这类事件不进行遏制将出现什么情况? d 事后的工作 -哪些成员要参加这次的事件的经验教训会议? 为防止此类事件再次发生需要做什么? 为提高检测此类事件的能力需要做什么" -般性问题有多少事件响应小组成员将参与处理此事件？" 除了事件响应小组外,在组织内还有什么团体或者个人将参与处理此事件？” 每份报告将怎么做?" 小组将把事件报告给哪一外部参与方？每份报告什么时候出？在处理此事件时小组使用什么工具和资源" -事件发生在不同日期和时间,处理的方式有何不同？ -如果事件发生在不同物理地点,处理方式有何不同？ 14
GB/T40652一2021 A.3案例 A.3.1案例1蠕虫和DDS代理入侵在一个星期二早晨，一种新蠕虫被公布在互联网上蠕虫利用两周前公开发布的Mierosofwin 漏洞,并且相关补丁已经发布蠕虫通过两种方式传播;a)通过电子邮件将自身发送到能找到的 dows 受感染主机的所有地址;b)找寻打开文件共享的主机并发送自身到该主机蠕虫为它发送的每份副本生成不同的附件名;每个附件随机生成文件名,文件名使用的是超过十几个文件扩展名中的其中一个蠕虫也会从超过100个的电子邮件主题中去选择并找寻类似数量的电子邮件主体当蠕虫感染主机时它会获得管理权并尝试使用文件传输协议从不同P地址下载DDos代理(提供代理的P地址数量是未知的) 虽然防病毒软件供应商会很快发出对这种蠕虫的告警,但在任何供应商发布特征库之前它传播非常迅速在蠕虫开始传播后三小时,在防病毒特征库可用之前,组织已经被广泛感染下面是为此案例设置的附加问题事件响应小组如何识别所有受感染主机？ a 在病毒特征库发布之前组织如何去防止蠕虫进人组织？” b 在病毒特征库发布之前组织如何去防止蠕虫由受感染主机传播" c 组织将会给所有易受攻击的机器打补丁吗？该怎么做？ d 如果已经受到DDos攻击的受感染主机在第二天早晨被配置去攻击另一组织的网站,将怎样去应对这一事件的变化? 事件响应小组将怎样让用户知道事件的状态？如果因为蠕虫而使电子邮件服务超负荷或者不能用该怎么办？" 如果有的话,小组将使用什么其他措施去照看目前没有连接到网络的主机(比如旅途中的员工、偶尔拨号的外部雇员)? A.3.2案例2:外部DDoS攻击在一个星期日晚上,组织的网络人侵检测系统检测到大量ping包,并发出可疑外部DDoS告警虽然事件处理人员不能确定这个告警是否正确,但他们确认此告警不和任何已知的误报相匹配因为 DDos活动使用欺骗性的源IP地址,所以确定组织内哪一台或者哪些主机在进行此项活动需要花费相当多的时间和精力;与此同时.DDoS活动仍在继续调查结果显示.7台服务器大概率生成DDos 通讯下面是此案例的附加问题小组将怎样确认组织内哪台主机在产生此通讯量?其他哪一小组可以协助事件响应小组" aa 在确认产生此通讯量的服务器后,小组将怎样推断出是否服务器受到恶意软件感染？” b A.3.3案例3:远程办公安全在一个星期六晚上,网络人侵检测软件记录到了一些来自内部的探测和扫描一些服务器的主机人侵检测软件也记录了一些探测与扫描人侵检测分析师断定这些内部IP属于这个组织的VPN服务器,并且联系了事件响应小组事件响应小组查看了入侵检测记录、防火墙、VPN服务器日志,并确定了发动攻击的外部IP地址,被授权的用户ID和相应的用户名下面是此案例的附加问题假设该用户的个人电脑已经被下载的游戏中包含的木马所感染这将怎样影响事件的处 15
GB/T40652一2021 理呢？ b 假设该用户的个人电脑已经被一个网络服务蠕虫所感染这将怎样影响事件的处理呢? A.3.4案例4;应用程序崩溃在一个星期一上午,该组织的咨询服务部门收到三个用户的求助,他们的电子表格应用程序在使用过程中反复崩溃接下来,更多其他用户也反映了类似的问题大部分的用户属于同一组或相关的组下面是此案例的附加问题 a 什么恶意软件导致了电子表格应用程序的崩溃? b)为了确定崩溃是恶意软件引起的需要采取哪些步骤？ A.3.5案例5:恶意移动代码在一个星期五下午,几名用户联系咨询服务部门,报告陌生的弹出式窗口以及在其网络浏览器中出现的陌生工具栏这些用户的描述很相似,因此咨询服务部门代理商认为,用户的系统被同样的东西影响,而且最可能的原因是基于web的恶意移动代码下面是此案例的附加问题事件响应小组如何确定什么漏洞或配置导致这种恶意代码感染系统" a) b)事件响应小组如何确定这些恶意移动代码来自哪些网站？" A.3.6案例6混合恶意软件攻击某组织采用了一个新的即时通讯平台后不久,其使用者就受到广泛的恶意软件的攻击,此恶意软件是通过使用即时消息来传播的从安全管理员的初步报告来看,攻击似乎是由蠕虫引起的然而后来的报告表明这种攻击也涉及web服务器和web客户端即时通讯和基于网络的攻击看起来与蠕虫有关,因为它们显示相同的信息给使用者下面是此案例的附加问题由于恶意软件更像是一个混合型的攻击,那么与处理蠕虫不同,需要采取什么样的响应措 a 施呢？ b 组织首先控制哪种攻击向量呢?为什么？" A.3.7案例7物联网恶意软件攻击某互联网公司安全研究团队发现攻击者利用恶意软件VPNFilter感染了全球54个国家的超过 50万台设备,品牌包括占据全球通信设备市场份额排名前几位的多家知名企业攻击者通过被感染的路由器,向网络注人恶意负载,甚至能悄悄修改网站发送的内容下面是此案例的附加问题: loT设备爆出新的漏洞,事件响应小组应采取什么措施? a D)遇到类似事件,如何应对？ A.3.8案例8;通过云计算平台传播勒索软件客户不经意通过云计算平台传播了勒索软件,招聘人员通过电子邮件接收到的简历文件感染了勒 16
GB/T40652一2021 索病毒,但该文件随后被转移到自动与云计算平台同步的文件夹,该文件通过云转发到组织内其他用在该简历文件被用户打开后,勒索软件会执行并加密每个设备或系统它不只是感染最初的用户, 还会快速蔓延到其他连接到云同步服务的用户和终端导致用户的大量主机、服务器被加密、业务系统瘫痪下面是此案例的附加问题遇到类似事件,事件响应小组应采取什么措施?？ a b 如何阻止恶意软件进人云服务？如何阻止恶意软件在云计算平台内无限制地传播而进人云服务" c A.3.9案例9勒索软件的处理 2018年2月,某三甲医院遭遇勒索病毒攻击,全院所有的医疗系统均无法正常使用,正常就医秩序受到严重影响;同年8月,某半导体制造公司的三处重要生产基地,均因勒索病毒人侵导致生产停摆此案例的附加问题为当业务系统出现无法访间,生产线停产等现象时,是否能100%确定是服务器感染了勒索病毒? 17
GB/T40652一2021 附录 B 资料性) 遏制恶意软件常用技术本附录总结了各种能有效遏制恶意软件事件的常用技术,提供了每种技术在应对不同类型恶意软件和攻击工具时的效果为了便于描述,表B.1将各种环境分为两大类(可控环境和不可控环境),将各种威胁分为两大类(简单和复杂) 可控环境指一个或多个关键群体可以控制整个组织内的服务器和工作站的操作系统以及应 a 用程序配置这使得在最初部署系统和提供支持、维护时,能够有效实施安全措施,并且使得组织内部能够保持一个持续的安全态势户只能控制各自的系统,通常使用的是管理员权限尽管系 b 不可控环境指系统所有者和用户统最初可能使用组织的标准配置,但系统所有者和用户可以更改该配置,这将减弱其安全性例如,某个大规模邮件蠕虫只是使用固定的主简单威胁简单威胁只拥有几个简单的特征题并且附件名只有三个固定的名称,那么这个蠕虫就是一个简单的威胁如果一个后门只使用一个固定端口号并且只和固定IP地址通信,这个后门也算是一个简单威胁复杂威胁复杂威胁可能有成百上千种特征;有些复杂的威胁甚至会随即产生一些特征例如,某大规模邮件蠕虫使用50个主题和50个文件名,并随机产生发送者地址、邮件内容和附件大小还有一个例子是恶意移动代码,该代码从一个巨大的列表中选择IP地址并下载其负载比起简单威胁,复杂威胁通常更难遏制表B.1提供的是在可控环境中处理简单威胁的向导表B.1不同环境下遏制技术的效果对比技术简单威胁,可控环境不可控环境下的显著差异复杂威胁的显著差异安全工具能够非常有效地阻止所有企图通过网络监控点(例如网络防火区域边界防病毒设备墙)的已知类型恶意软件;能有效阻止一些未知恶意软件能非常有效地阻止企图感染主因为一些主机可能使用了过机的已知类型恶意软件(例如，期的、配置错误,或功能被禁防病毒软件个人电脑、服务器);能有效阻止止的防病毒软件,或者没有安些未知类型恶意软件装防病毒软件能非常有效地阻止企图感染主因为一些主机可能使用了过恶意软件专杀工具通机例如,个人电脑、服务器)的期的,配置错误,或功能被禁常基于主机已知特定类型恶意软件;能有效止的防病毒软件,或者没有安些未知类型恶意软件装防病毒软件阻止一些能有效阻止大部分企图通过网络监控点例如IPS)的已知类检测准确率很低,如果威胁具有 |网络人侵防御系统型蠕虫;某些情况下,可以有效随机特征,通常无法有效检测阻止未知蠕虫;能有效识别和阻止使用后门 18
GB/T40652一2021 表B.1不同环境下遏制技术的效果对比(续) 简单威胁,可控环境不可控环境下的显著差异复杂威胁的显著差异技术有时能有效阻止企图攻击主机主机可能使用过期、配置错的已知和未知恶意软件(例如,误,或功能被禁止的防病毒软 I终端安全软件个人电脑,服务器);能有效检测件,或者没有安装防病毒软检测准确率很低出企图更改关键系统文件的恶件;如果软件配置错误,也会意软件降低检测的准确性基于网络的垃圾邮件能够非常有效地阻止利用邮件检测准确率很低,如果威胁具有过滤传播的已知恶意软件随机特征.,通常无法有效检测效率不高,因为一些主机可能基于主机的垃圾邮件能够非常有效地阻止利用邮件使用了过期的、配置错误、或检测准确率很低如果威胁具过滤传播的已知恶意软件功能被禁止的防病毒软件,或有随机特征,通常无法有效检测者没有安装防病毒软件基于网络的web内容能有效阻止基于web的已知恶通常效率较低,因为检测准确率过滤意软件很低效率不高,因为一些主机可能基于主机的web内容能有效阻止基于web的已知恶使用了过期的,配置错误,或通常效率较低,因为检测准确率过滤意软件功能被禁止的防病毒软件,或很低者没有安装防病毒软件网络配置更改可以阻止通过固定端口传播的蠕虫进人或离开网络;可以有效阻止对服务和主机的访问,能有效预防非授权主机产生的邮件如果需要阻止的攻击者IP地址 I网络防火墙太多,效率可能会受影响离开组织的网络,能有效阻止主机访问恶意软件产生的攻击者 lP地址,同时阻止攻击者 IP 址对该网络的访问能非常有效地预防网络服务蠕虫感染主机(例如,工作站,服务效率不高,因为一些主机可能器);能有效预防被感染主机产|使用了过期的、配置错误、或终端安全软件生的边界活动离开主机(例如，功能被禁止的防病毒软件,或后门、按健记录器、浏览器活动、者没有安装防病毒软件邮件生成器可以有效预防利用网络服务传播的蠕虫进人组织的网络;能有效阻止主机访问恶意软件例如果需要阻止的攻击者IP地址互联网边界路由器如，后门.恶意移动代码、按键记太多,效率可能会受影响录器、恶意浏览器插件)产生的攻击者IP地址,同时阻止攻击者昏P地址对该网络的访间 19
GB/T40652一2021 表B.1不同环境下遏制技术的效果对比(续) 简单威胁,可控环境不可控环境下的显著差异复杂威胁的显著差异技术可以有效预防利用网络服务的蠕虫进人组织的网络;能有效阻止访问主机恶意软件产生的攻如果需要阻止的攻击者IP地址内部路由器击者IP地址,同时阻止攻击者太多,效率可能会受影响 IP地址对该网络的访问;能有效阻止被感染主机产生的邮件发送活动主机配置更改能有效阻止利用主机漏洞或不主机加固包括安装补效率低下,因为很多主机没有安全设置的恶意软件产生的额打补丁或没有适当加固外感染通常效率低,因为检测准确率邮件服务器设置(例如能有效阻止基于邮件的恶意软低,如果威胁具有随机性特征阻止邮件附件件使用组织的邮件服务通常无法检测通常效率低,因为检测准确率组织服务器上其他服有时可以有效阻止网络服务低,如果威胁具有随机性特征，务的设置蠕虫通常无法检测应用程序客户端设置效率有限,因为用户需要完成《例如,限制邮件客户能有效阻止特定的恶意软件某些设置(例如,手动更改设端和浏览器中的移动置,运行分发的工具或脚本代码执行表B.2和表B.3总结了表B1的信息,指出了可控环境下,每种技术针对简单威胁(表B.2)和复杂威胁表B.3)的效率 H表示高效率;M表示效率一般;L表示低效率表B.2可控环境下对简单威胁的遏制效率恶意软件类型复合网络大规恶意按键恶意邮件技术宏病服务模邮木马移动后门记录 Rootkit 浏览生成型病毒器毒蠕虫件蠕虫代码器插件器安全工具区域边界防病毒设备 H H H H H H H H H H H H H H H H H H H H H H 防病毒软件 H H 恶意软件专杀工具 H 网络人侵防御系统 M M 终端安全软件 M M 20
GB/T40652一2021 表B.2可控环境下对简单威胁的遏制效率(续患意软件类型复合冈络大规恶意按键恶意邮件技术宏病型病服务模邮木马移动后门记录Rootkit 浏览生成毒毒器蠕虫件蠕虫代码器器插件 H M H 基于网络的垃圾邮件过滤系统 H M H 基于主机的垃圾邮件过滤系统 M M 基于网络的web内容过滤系统 M M 基于主机的web内容过滤系统网络配置更改 M M M M M M 网络防火墙 H M M M M M 终端安全软件 H M M M M 互联网边界路由器 H M M M M 内部路由器 H 主机配置更改 M M M M 主机加固(包括安装补丁) H M H M 邮件服务器设置(例如,组织邮件附件 LM 设置组织服务器提供的其他服务应用程序客户端设置(例如,限制邮件客户端或浏览器执行患意代码、限制在 M M M M word处理器中使用宏表B.3可控环境下对复杂威胁的遏制效率恶意软件类型复合网络大规恶意按键恶意邮件技术宏病型病服务模邮木马移动后门记录 Rootkit 浏览生成毒器蠕虫件蠕虫代码器插件器安全工具 H H H 区域边界防病毒设备 H H I H H H H H 防病毒软件 H H H 恶意软件专杀工具 H 网络人侵防御系统 I 终端安全软件 21
GB/T40652一2021 表B.3可控环境下对复杂威胁的遏制效率(续) 恶意软件类型复合网络大规恶意按键恶意邮件技术宏病型病服务模邮木马移动后门记录Rootkit 浏览生成毒毒器蠕虫件蠕虫代码器器插件 L.M I.M 基于网络的垃圾邮件过滤系统 LM 1M 基于主机的垃圾邮件过滤系统基于网络的web内容过滤系统基于主机的web内容过滤系统网络配置更改 H M M L.-ML.-M L-M -M 网络防火墙 H M M M M M 终安全软件 H M L-ML-M 1-M 互联网边界路由器 H M LML-M 1-M 内部路由器主机配置更改 M M M M 主机加固(包括安装补丁) LM 1M 邮件服务器设置例如,组织邮件附件 L-M 设置组织服务器提供的其他服务应用程序客户端设置(例如,限制邮件客户端或浏览器执行恶意代码,限制在 NM M M word处理器中使用宏 22
GB/T40652一2021 参考文献 [1]GB/T20275一2013信息安全技术网络人侵检测系统技术要求和测试评价方法 [2]GB/T24363一2009 信息安全技术信息安全应急响应计划规范 [[3]GB/T31499一2015信息安全技术统一威胁管理产品技术要求和测试评价方法 [打 Security Guidelinesfor eyber rethmrues IsO/IEC27032:2012lnformationtechnology security Part1: [5]IsO/IEC27033-1,2015nformationtechnologySsecuritytedhniques一Networksecurity Overviewandconcepts [[6]NISTSP800-28Version2;2008GuidelinesonAectiveContenandMobileCode [7] NISTSP800-40Rev.3:2013GuidetoEnterprisePatchManagementTechnologies [8] NISTSP800-61Rev.2;2012ComputerSecurityIncidentHandlingGuide [9] NISTSP800-70Rev.4:2018NationalChecklistProgrammforITProducts:Guidelinesfor ChecklistUsersandDevelopers [10]NISTSP800-83Versionl:2005GuidetoMalwareIncidentPreventionandHandling 11]NISTsSP800-83 Rev.l:2013GuidetoMalwareIncidentPreventionandHandlingfor Desktopsandaptops

信息安全技术恶意软件事件预防和处理指南GB/T40652-2021

随着互联网技术的不断发展，恶意软件攻击已经成为了严重的威胁，给企业、个人的信息安全带来了很大的挑战。GB/T40652-2021是我国针对恶意软件事件预防和处理制定的标准，它旨在规范恶意软件事件处理的流程和方法，提高恶意软件的识别和应对能力。

什么是恶意软件？

恶意软件是指通过计算机程序在用户不知情的情况下，进行破坏、窃取和控制等非法活动的软件。恶意软件种类繁多，包括病毒、木马、蠕虫、僵尸网络等，它们可以通过电子邮件、网站漏洞、文件下载等途径潜入用户计算机系统，给计算机安全造成威胁。

恶意软件事件预防和处理指南GB/T40652-2021的主要内容

GB/T40652-2021标准是我国恶意软件事件预防和处理的指导性文件，它主要包括以下方面的内容：

恶意软件事件的定义和分类；
恶意软件事件预防的方法和措施；
恶意软件事件的发现和识别；
恶意软件事件的处置流程和方法；
恶意软件事件的跟进和追溯。

恶意软件事件预防和处理指南GB/T40652-2021的意义

GB/T40652-2021标准的制定，对于我国加强信息安全保护、提高网络安全水平具有重大意义。该标准规范了恶意软件事件预防和处理的流程和方法，提高了恶意软件的识别和应对能力，防止了恶意软件攻击和数据泄露，保障了国家信息安全。

结语

恶意软件事件是信息安全领域的重要问题，其会严重危害企业、个人的信息安全。GB/T40652-2021标准的制定，为恶意软件事件预防和处理提供了指导性文件，对于提高恶意软件的识别和应对能力、保障国家信息安全具有重要意义。