了解恶意软件威胁
直接与用户交互的计算机系统被视为“终结点系统”。 应保护设备上系统(如笔记本电脑、智能手机和计算机)。 保护这些设备可防止它们充当对组织网络系统进行安全攻击的网关。 如今的“自带设备”甚至意味着保护有权访问业务资源的个人设备。
新闻经常会报道有关机构意外泄露个人信息的事情。 通常,这些意外情况是由不良的安全做法或蓄意攻击导致的。 黑客通过模拟真实的用户,或通过某种方式将恶意软件插入到有权访问网络的计算机或设备中来访问系统。
什么是恶意软件?
恶意软件是指试图引起计算机或网络损坏的恶意软件。 它通常利用软件中的漏洞或无意中安装该软件的毫无戒心的用户。
恶意软件有多种形式:
- 病毒
- 蠕虫
- 特洛伊木马
病毒
计算机病毒(如活病毒)需要主机才能生存。 病毒是附加到现有程序和文档或隐藏在硬盘驱动器的受保护区域(如引导扇区)中的代码片段。 由于它们隐藏在受保护的区域,因此很难查找和删除它们。 当启动已感染的程序时,病毒就会被执行(通常不会有用户注意到任何内容)。 然后它可能对用户的数据或其他文件执行恶意操作。 如果已感染的计算机向另一台计算机发送文件,病毒可能就会随数据进行传播。 此行为是对计算机病毒的分类:它存在于其他程序中,并且需要人工交互才能进行传播。
病毒的一些示例如下:ILOVEYOU、Shamoon 和 CIH(Chernobyl 病毒)。
蠕虫
蠕虫是通过计算机网络复制自身的独立软件。 与病毒类似,蠕虫病毒设计为复制自身。 但蠕虫病毒作为独立程序存在,而不是隐藏在现有文件中,它可以在无人干预的情况下感染其他计算机。 蠕虫病毒通常通过计算机网络传输,在受感染计算机的后台运行。 在后台,它使用计算机软件中的已知漏洞来查找并感染其他已连接的设备。
蠕虫病毒的一些示例包括:Melissa、Code Red 和 Stuxnet。
特洛伊木马
每个人都知道 Troy 的故事和用于入侵城市的那匹木马的故事。 此恶意软件采用相同的名称,因为它进行了伪装。 特洛伊木马因其通常被设计用来执行的内容而被认为是最危险的恶意软件。 它们通过伪装成用户想要安装的有用软件实用程序进行传播。 由于用户授权安装,这种恶意软件通常会获得对用户文件的访问权限,包括敏感或私人数据。 此外,特洛伊木马通常会安装后门程序以让黑客进入计算机,或安装键盘记录器以捕获密码或信用卡等击键。 与其他类型的恶意软件不同,特洛伊木马不会广泛复制,它们专用于控制或销毁其感染的特定计算机。
特洛伊木马的一些示例包括:Gh0st RAT、Zeus,以及 Shedun(在 Android 上)。
恶意软件是如何进行安装的?
恶意软件最初可以通过几种方式进入计算机。
直接安装。 如今,大多数软件都通过 Internet 提供。 用户习惯于从各种来源下载和安装软件。 恶意软件可以在用户不知情的情况下安装,也可以通过篡改经授权的下载来安装。 此方法也适用于插入到计算机中的受感染驱动器(例如 USB 密钥)。
安全漏洞。 运行浏览器等软件时存在缺陷或 bug。 它甚至可能在操作系统中,并允许在计算机中安装恶意软件。 在这种情况下,恶意软件将利用安全漏洞来获取管理员访问权限,或将感染的文件传到计算机。
后门程序。 恶意软件还可能通过软件中设计留下的开口进行安装。 这些“后门程序”通常用于测试和调试。 如果后门程序被保留并发布到生产环境中,就可以利用它来访问计算机或网络。
防范恶意软件
可以结合 Microsoft Defender for Cloud 使用几个关键策略来保护计算机和网络免受恶意软件的攻击。
- 通过最新的 OS 修补程序和版本使你的服务器保持为最新。 受监视的系统未被修补时,Defender for Cloud 会自动向你发出警报。
- 安装“适用于 Azure 云服务和虚拟机的 Microsoft Antimalware”的反恶意软件,可帮助识别并删除病毒、间谍软件和其他恶意软件。
- 使用防火墙来阻止网络流量。 Defender for Cloud 将标识 VM 和服务器的开放流量,并提供说明来激活 Azure 的内置防火墙功能。
- 将你的反恶意软件解决方案与 Defender for Cloud 集成以监控反恶意软件保护的状态。
最后一步对于完成监视计划至关重要。 Defender for Cloud 突出显示检测到的威胁和保护不足等问题,这些问题会使虚拟机和计算机易受攻击。 通过参考“Endpoint Protection 问题”上的信息,你可以制定计划来解决发现的任何问题。