本文分享一些 IT 管理員可以積極實行的規則,好為網路建立「基本的防禦」。這裡說的”基本”是因為這些規則並非是為了涵蓋網路內所有類型的可疑活動 – 只是一些作者認為很可能被漏掉的活動。
偵測到使用非標準端口的服務
一般的協定都有預設的端口來讓應用程式或服務使用。一個執行某協定的服務卻沒有使用預設端口可以視為可疑 – 這是常被攻擊者利用的技術,因為預設端口通常都會被安全產品監控。同樣地,偵測未知協定使用標準服務端口也很重要,像是 80(HTTP)、25(SMTP)、21(FTP)、443(HTTPS)。因為有服務使用這些端口,所以IT管理員不能加以封鎖,所以就有可能被攻擊者利用來進行攻擊。由於每個企業的環境都有所不同,所以確認可以允許哪些端口就是IT管理員的工作,而且要密切地監視流過這些端口的流量,確保是預期中的正常流量。
除此之外,封鎖環境中所有未使用的端口也是個重要的做法。如同我們從以往關於針對性攻擊中後門程式所使用技術的研究裡學到,會使用的端口往往依賴於網路內允許哪些通過。限制網路中所打開的端口可以防止攻擊者加以濫用。像是攻擊者還可以利用網路中用來同步時間的網路時間協定(NTP)來發動分散式阻斷服務(DDoS)攻擊。
偵測名稱有可疑特徵的檔案
誘騙使用者打開惡意檔案的基本技巧之一是要變造檔案名稱讓目標認為自己所開啓的檔案並無害處。儘管很難單單靠著檔案名稱就確認一個檔案的性質,還是有幾個可疑的檔名特徵可以讓管理員加以注意:
- 檔案名稱中帶有太多空格
- 檔案名稱帶有兩個或以上的副檔名(尤其是當實際副檔名為可執行檔時)
- 檔案類型和副檔名並不匹配(例如:PE類型檔案的副檔名卻是「pif」,「bat」或是「cmd」等)