四.恶意软件事件响应

　　一般来说，恶意软件事件响应包括准备活动，譬如说开发恶意软件事件处理流程和响应小组的培训。正如我们在第三部分中所讨论的，准备阶段包括使用安全政策，警惕性教育，漏洞处置，使用安全工具减少恶意软件事件。尽管采取这些措施也不可能万无一失。因此，恶意软件感染的探测对于事件发生的警告是必要的。对于恶意软件的快速探测有助于防止事态的扩大，探测速度越快，就越能减少感染系统的数量。

　　事件响应周期 (准备-探测和分析- 病毒抑制，删除和恢复-后续处理)

　　对于每一次恶意软件事件，企业都应该根据事件的严重性恰当地处理，譬如说，抑制病毒，清除感染，最后完全恢复系统。如果企业有大量的系统被感染的时候，要实施上述措施将会非常困难。事件被成功处理之后，应该把事件的起因，损失详细记录在案，以便企业下次在面临这些风险的时候采取更加有效地措施。

　　尽管上述标准的处理恶意软件的流程差不多，但是要应对大规模的感染还是存在一些挑战。我们将主要讨论企业大规模恶意软件事件的处理，但是这些指导对于小规模恶意软件的处理也很有帮助。

　　4.1 准备

　　对于企业来说，准备多套时间响应方案是应对恶意软件事件的基础之一，如果没有这些方案的话，事件处理将会变得异常困难。有一些企业由于产期遭受恶意软件，除了一般的事件响应小组之外，还有专门的事件响应小组。由于恶意软件在短时间之内会给企业带来很大的危害，企业制定的恶意软件事件防范政策和规程要明确企业和个人的责任。定期的针对恶意软件的培训和教育有助于员工明确责任，保证安全政策的有效性和综合性。对于大规模恶意软件事件的演练是大有裨益的，虽然很少发生，但是一旦发生后果不堪设想。

　　企业还需要采取其它防范措施响应恶意软件事件，以下4.1.1到4.1.3将推荐几种防范措施，包括在应急小组之内构建和维持恶意软件相关的技术，企业各个部门之间的沟通及合作，使用必要的工具和资源。

　　4.1.1 构建和使用杀毒软件相关的技术

　　除了标准的事件响应小组技术之外，下面的一些知识在应对恶意软件事件时也是大有裨益的：

　　■ 恶意软件感染方法 所有的恶意软件事件处理人员都需要了解主要的恶意软件感染系统的方式的传播的手段

　　■ 恶意软件探测工具 我们在3.4中已经讨论过，可以使用杀毒软件，基于网络和基于主机的入侵防御软件，间谍软件探测和删除软件，和其它工具都可以有效检测恶意软件。事件处理人员需要了解企业配置的这些工具，以便更好地分析支持数据和确认病毒特征。至少应该熟悉企业的杀毒软件。

　　■ 计算机取证(computer forensic) 企业需要有一些人员精通计算机取证工具和技术。这种技术在调查特别复杂的恶意软件时是必须的，譬如说rookit安装。

　　■ 对于IT的广博知识面 这种能力让技术人员更好地评估恶意软件风险，以便为抑制，删除病毒和系统恢复提出更好的建议。

　　■ 编程 小组中应该要有熟练使用常见编程语言和宏语言的人员，这样就可以帮助其它成员在短时间之内了解病毒的行为特征和危害

　　除了进行恶意软件相关的培训和演练之外(4.1)，企业还要寻找其他技术。譬如说，可以让小组成员临时作为杀毒软件工程师或是管理员，这样他们就可以获取新的技术，了解杀毒软件工作程序。抑或是在漏洞管理小组中临时工作，这样可以加深他们对于系统漏洞探测和添加补丁的了解;

　　4.1.2 促进企业之间的沟通和合作

　　在处理恶意软件时最常见的问题就是沟通不畅，信息缺乏交流。在一次事件中，我们常常会发现，由于缺乏对形势的了解，各个部门，用户之间产生误解。为了解决沟通混乱和不及时的状况，企业应该事先成立专人或是专门小组负责沟通。沟通小组的首要目标是搜集信息，作出对企业最有利的决策，将相关信息及时转给有关部门。在恶意软件事件中，相关的部门涵盖了终端用户，他们应该学会如何避免系统的感染，如何辨别感染特征，系统感染之后采取的措施。沟通小组要给员工提供关于恶意软件防范的一些指导，及时向管理人员报告最新进展。

　　由于大规模的恶意软件事件常常破坏电子邮件服务，内部网络站点，Voip和其它通讯手段，因此企业需要有建立其它的沟通渠道保证危机处理人员，技术人员，管理层，和用户之间畅通联系。譬如，可以使用企业的电话系统，手机，传呼机，电子邮件，电报和纸质文档。即使是在正常情况下，使用不同的联系方式联系不同的对象也是很有效的(譬如，使用电子邮件与用户沟通，关键的技术人员使用会议专线联系)。我们将在4.3.1中讨论用户之间沟通的方式。

　　企业需要建立恶意软件咨询台，员工可以报告恶意软件，寻求帮助等等，用户发现恶意软件之后，首先需要向咨询台报告。