了解惡意程式碼威脅
直接與使用者互動的電腦系統會被視為端點系統。 裝置上的系統 (例如膝上型電腦、智慧型手機和電腦) 應該受到保護。 保護這些裝置可防止這些裝置作為對組織網路系統進行安全性攻擊的閘道。 在現今攜帶您自己的裝置的世界中,這甚至表示保護可存取您商務資源的個人裝置。
新聞充滿了有關組織意外洩漏個人資訊的報導。 這些事故通常是因為安全措施不當或刻意攻擊的結果。 駭客可以藉由模擬真實的使用者,或將惡意程式碼植入到已授權存取網路的電腦或裝置,藉以取得系統的存取權。
什麼是惡意軟體?
惡意程式碼是一種惡意軟體,目的是要造成電腦或網路損壞。 它經常會利用軟體中的漏洞,或不熟悉的使用者在不知情的情況下進行安裝的漏洞。
惡意程式碼有幾種形式:
- 病毒
- 蠕蟲
- 特洛伊木馬程式
病毒
就像活體病毒一樣,電腦病毒需要宿主才能存留。 病毒是附加至現有程式和文件,或隱藏在硬碟的受保護區域 (例如開機磁區) 中的程式碼。 因為它們隱藏在受保護的區域中,所以難以找到並移除。 啟動受感染的程式時會執行病毒,使用者通常不會注意到任何異狀。 然後,它可以對使用者的資料或其他檔案執行惡意動作。 如果受感染的電腦將檔案傳送到另一部電腦,則可以使用該資料來散佈病毒。 此行為是將電腦病毒分類的依據:它存在於其他程式中,並且需要與使用者互動才能散佈。
病毒的一些範例如下:ILOVEYOU、Shamoon 和 CIH (Chernobyl 病毒)。
蠕蟲
蠕蟲是獨立軟體的一部分,會透過電腦網路自行複製。 與病毒類似,蠕蟲的設計目的是自行複製。 但是蠕蟲不會隱藏在現有的檔案中,而是以個別程式的形式存在,可以感染其他電腦,而不需要人為介入。 蠕蟲通常會透過電腦網路流竄,在受感染的電腦上背景執行。 屆時它會使用電腦軟體中的已知弱點來尋找並感染其他連線的裝置。
蠕蟲的一些範例如下:Melissa、Code Red 和 Stuxnet。
特洛伊木馬程式
每個人都知道特洛伊 (Troy) 和入侵這座城市的木馬的故事。 此惡意程式碼採用相同的名稱,因為它假裝不是它的本意。 由於其設計的執行目的,特洛伊木馬程式被視為是最危險的惡意程式碼類型。 其散佈方式是偽裝為使用者希望安裝的實用軟體公用程式。 因為使用者授權安裝,此惡意程式碼通常會取得使用者檔案的存取權,包括敏感性資料或私人資料。 此外,特洛伊木馬程式通常會安裝後門程式讓駭客進入電腦,或安裝鍵盤記錄器來擷取按鍵輸入,例如密碼或信用卡。 與其他類型的惡意程式碼不同的是,特洛伊木馬程式不會廣泛地進行複寫,而是專門用來控制或摧毀它們所感染的特定電腦。
特洛伊木馬程式的一些範例如下:Gh0st RAT、Zeus 和 Shedun (在 Android 上)。
如何安裝惡意程式碼?
有幾種方式可讓惡意程式碼一開始就進入電腦。
直接安裝。 現今大部分的軟體都是透過網際網路提供。 使用者可以從各種來源下載並安裝軟體。 惡意程式碼可以在使用者不知情的情況下安裝,也可以透過被竄改的授權下載進行安裝。 這種方法也適用於將受感染的磁碟機 (例如 USB 金鑰) 插入電腦。
安全性弱點。 執行中軟體的瑕疵或錯誤,例如瀏覽器。 甚至可能位於作業系統中,並允許將惡意程式碼安裝到電腦上。 在這種情況下,惡意程式碼會利用安全性漏洞來取得系統管理員存取權,或將受感染的檔案下載到電腦上。
後門程式。 惡意程式碼也可以透過軟體中留下的設計漏洞來安裝。 這些後門程式通常會放在該處,以進行測試和偵錯。 如果後門程式留在原處並發行到生產環境,則可以利用它來存取電腦或網路。
抵禦惡意程式碼
您可以將數種關鍵原則與適用於雲端的 Microsoft Defender 一起使用,以保護您的電腦和網路免受惡意程式碼的攻擊。
- 使用最新的 OS 修正程式和版本,讓您的伺服器保持在最新狀態。 當受監視的系統未修補時,適用於雲端的 Defender 會自動發出警示。
- 安裝反惡意程式碼軟體 (例如適用於 Azure 雲端服務和虛擬機器的 Microsoft Antimalware),以協助識別和移除病毒、間諜軟體和其他惡意軟體。
- 使用防火牆來封鎖網路流量。 適用於雲端的 Defender 會識別您 VM 和伺服器的開放流量,並提供指示,以啟用 Azure 的內建防火牆功能。
- 將您的反惡意程式碼軟體解決方案與適用於雲端的 Defender 整合,以監視反惡意程式碼軟體保護的狀態。
最後一個步驟對完整的監視計畫來說非常重要。 適用於雲端的 Defender 會強調問題所在 (例如偵測到威脅與不足的保護),這些問題可能會造成 VM 與電腦容易遭受攻擊。 使用端點保護問題的資訊,可以制定方案來解決所有已確定的問題。