远离僵尸网络的方法（二）

1.打破域信任关系

消除密码信任以重新获得对本地账户的更严格控制。谨慎地控制本地管理员账户对切断威胁并消除威胁至关重要。

禁用计算机的自动互连功能，可以切断僵尸网络用来在内部网络中传播的路由。

在某些或许多计算机包含高度敏感数据的网络中，这可以提供一种安全的替代方法来防御僵尸网络攻击。

2.采取额外的预防措施

设置额外的保护层，以帮助防止僵尸网络在您的系统中自我保护，重点是强化支撑网络，例如，某些特别脆弱的特定接触点、来自某些硬件或软件组件的路由。

记住以下几点：

• 基于主机的入侵检测系统效率极高，但成本也很高，通常很难部署成功。
• 这些工具无法纠正操作系统的缺陷或其他现有技术缺陷。

3.增强和增加网络监控

密切监控网络，掌握网络连接用户在组织内的操作活动，可显着提高网络防御解决方案的能力

当僵尸网络或其他恶意软件入侵开始时，更深入地监测网络交互行为，可以更快速地检测到异常活动。

• 理想情况下，应该采用24小时监控网络的策略，使用数据收集工具检测异常行为并阻止渗透系统的尝试。
• 考虑购买远程网络安全服务，以获取范围更广、质量更高的网络监控设备和专业知识，这可能超出内部IT设施和/或一个员工提供全天候服务的水平。

4.使用代理服务器控制网络访问

创建一个可以监控互联网访问的支持出口点，从而增强监视工作的力度。通过代理服务器路由出站信息可以阻止网络犯罪分子绕过网络安全性的尝试。

对于大多数网络，通过代理服务器过滤内容是一种实用的选择，尽管停止每一点疑似有问题的出站信息可能并不现实。

5.应用最低特权原则

一般而言，访问权限应该基于用户功能的需要。如果管理员与特定工作站的用户不是同一个人，则通过下载传播恶意软件的难度会大得多。

这也使得采用自动运行策略来利用系统变得更加困难。这进一步增加了犯罪者通过利用用户的网络账户凭据将恶意软件从一个被渗透的计算机工作站传播到其他工作站的难度。

6.监视对域名系统的查询响应

持续监视工作站对DNS服务器的查询是识别僵尸网络渗透症状的一个极好的方法。例如，监视低生存时间（TTL）。

TTL值异常低可能表明僵尸网络渗透。通过仔细监测低TTL值，系统管理员可以采取措施来抵抗攻击，并在感染蔓延之前消除僵尸网络。

7.随时掌握紧急威胁

让IT团队及时掌握最新的本地、国家和全球网络威胁动态。例如，据报道，使用电子邮件中的URL渗透到内部网络的犯罪发生率比使用附件的犯罪发生率高得多。