您现在的位置是:首页 > IT基础架构 > 网络与安全 >

McAfee误杀事件的启示:如何防患于未然?

2010-05-19 17:05:00作者:王勇来源:

摘要通常情况下,对于公司的网络防护体系来说,防病毒软件供应商提供的病毒定义更新出现问题只不过是一种暂时性故障。但是,确保你的公司为这样的意外事件做好准备非常重要,因为有错误的DAT文件可能会对计算机和系统运行造成严重破坏。 ...

通常情况下,对于公司的网络防护体系来说,防病毒软件供应商提供的病毒定义更新(或称防病毒DAT文件)出现问题只不过是一种暂时性故障。但是,确保你的公司为这样的意外事件做好准备非常重要,因为有错误的DAT文件可能会对计算机和系统运行造成严重破坏。

事实上,这种情景刚刚在许多公司的IT部门上演。McAfee在4月21日发布的DAT文件出现了错误,导致Windows XP Service Pack 3(SP3)系统崩溃并反复重新启动。很明显,McAfee将此次更新问题归咎于DAT文件出错,这个DAT文件错误地将Windows XP中重要的“svchost.exe”进程隔离起来。

这一消息使我想起了我以前担任CISO(首席信息安全官)时一次相当可怕的经历。当时,我们的防病毒软件供应商同样提供了一个有错误的DAT文件,对我们的计算机和系统运行造成了严重破坏。那一事件与此次McAfee的误杀事件类似。

防病毒DAT文件导致许多电脑瘫痪

由于担心蠕虫、恶意软件、僵尸网络等迅速传播,我们公司决定,当一个新的DAT文件上传到公司的防病毒系统服务器时,允许公司的所有系统自动更新病毒定义。坦白地说,我们从来没有理由怀疑我们的防病毒软件供应商缺乏质量保证流程,因为在我们与这家供应商多年的合作过程中从未出现过问题。因此,我们从来没有对DAT文件执行过预先测试。

然而,一个星期五的下午,我突然接到我们的服务交付经理的紧急电话,说公司的网络“正在受到攻击”,要我尽快赶到事件响应区。当时的症状是,我们的许多工作站和一些服务器的CPU使用率达到了100%,而且不能响应任何命令和故障排除措施。公司的大多数计算机基本上处于瘫痪状态,许多工作(例如电子邮件和文字处理等)都无法进行。

当我赶到事件响应区以后,我认为可能是发生了以下问题:逻辑炸弹发作或者攻击者通过僵尸网络发动分布式拒绝服务攻击(DDoS)。考虑到这些可能性,我立即给我们强大的同行安全专家网络中的专家打电话,以寻求他们的帮助和指导。很快,公司的事件响应小组建立了电话联系渠道。因此,我、我的专家以及我的专家的专家(甚至包括微软的安全专家)一起讨论发生了什么问题,共同分析可能的原因。

与此同时,事件响应小组还开始进行故障排除工作,发现只有安装了Windows XP Service Pack 2的计算机受到影响,而我们在这些计算机瘫痪之前刚刚更新了我们的防病毒软件供应商提供的DAT文件。于是,我们通过一台未受影响的计算机与我们的防病毒软件供应商联系,并下载新的(已更正的)DAT文件。然后,我们将这个已更正的DAT文件复制到受影响的计算机上,使其恢复正常、稳定的运行。

网络事件响应的经验教训 

通过这一事件,我们得出了下列重要的经验教训:

1.建立强大的安全网络:建立和维护一个强大的同行安全专家网络。如果发生严重的安全事件,你可以向他们寻求帮助。例如,当发现公司网络中出现活跃的僵尸网络时,你会考虑给谁打电话?如果发现儿童色情内容、假情报或涉及国家安全问题的内容,你可以与当地联邦调查局或特勤局办事处的哪位专家联系?建立一份在紧急情况下你可以与其联系的安全同行或专家的名单,其中要包括他们手机号码、电子邮件地址和个人电话号码等,并将这份名单保存在你的智能手机里,或者直接将其记下来放在你的钱包中。

2.学会在Internet无法访问时如何接通和修复网络:这一要求听起来可能点奇怪,但是在我们公司收到有问题的DAT文件时,我们本来没有办法访问Internet以下载更新的DAT文件和研究纠正措施等。最好是准备一台安装有早期版本的防病毒软件的笔记本电脑,并为其配备一张EVDO卡或GSM卡,从而可以执行一些简单的故障排除工作和下载可用的修补程序。然后,你可以通过U盘或刻录的光盘将该修补程序从笔记本电脑复制到内部系统,从而使这些计算机恢复正常运行(在将此修补程序复制到整个公司的系统中时,不要忘了先检查一下U盘和刻录的光盘上是否有蠕虫和病毒)。

3.建立一支高效的、经验丰富的、准备就绪的事件响应小组:在网络世界里,你必须随时准备应对严重的安全事件,建立一支知道如何处理和响应安全事件的事件响应小组确实非常重要。要确保事件响应小组遵循“PICERF”方法:准备(Preparation)、识别(Identification)、围堵(Containment)、根除(Eradication)、恢复(Recovery)和后续处理(Follow-up)。一个很好而且免费的网络事件响应资源是NIST(美国国家标准与技术研究所)的一份特别报告800-61 v1——“计算机安全事件处理指南”(pdf格式)。一定要对照附录和核对清单详细检查。

4.建立可用的电话联系渠道:事件响应小组应该建立一个电话联系渠道,当发生重要或次要的安全事件时可以随时打通该联系渠道。这不仅能够提供更有效的跨领域交流,而且在必要时还可以更容易地邀请外部专家参与问题会诊。你可以通过你的电话服务供应商或登录www.freeconferencecall.comwww.freeconfernce.com网站建立这些电话联系渠道。

5.通知供应商和相关的网络应急响应组织:像我所在的公司发生的这种事件需要通知导致(或可能导致)此事件的软件供应商。另外,还可以考虑通知美国计算机应急响应小组(CERT)、美国国土安全部(US-CERT)以及你所在地区或行业的同行安全专家。这样做的目的并不是要让新闻报道你的公司,而是帮助你所在行业的同行或其他公司,以便当他们遇到同样的问题或事件时可以更好地应对。诚然,防病毒软件供应商提供的DAT文件有错误是一种例外而不是普遍现象。但是,从这样的事件中汲取经验教训,可以帮助你的公司更好地应对任何重要的网络安全事件发生。


(本文不涉密)
责任编辑:

站点信息

  • 运营主体:中国信息化周报
  • 商务合作:赵瑞华 010-88559646
  • 微信公众号:扫描二维码,关注我们