文：維仔
負責安全維護者的人員，都會儘可能做好事先防範－比方安裝軟體更新、進行入侵測試、以及管理使用權限等等。不幸的是，有時候所有的防護性措拖都無法保護你的系統免於病毒、蠕蟲或其他類型惡意軟體的感染。
過去我曾寫過一篇關於建立安全災害對應政策重要性的文章，裡面有講到當安全災害發生之後，應該採取的一些步驟。然而每個安全問題的規模與目標卻差異甚大。雖然有整體對應政策是絕對必要，但實際的安全災害處理方案應該要視個別問題來決定。
什麼是惡意軟體？
惡意軟體是惡意的程式碼，或是偷偷安裝在系統內的軟體，它們會影響到網路上資料或程式的安全性、整合性或是使用性。惡意軟體可能造成網路的嚴重損害或斷線，需要花費大量的努力來回復系統的安全與使用者的信任。
我們可以把惡意軟體的威脅區分為五大類。以下是簡單的描述：
病毒：會自我複製的程式，會將自己的副本插入寄生的程式或資料檔案中。病毒同時會攻擊作業系統與應用程式。
蠕蟲：會自我複製，不經使用者啟動就會自行執行的獨立程式。蠕蟲感染系統時不需要寄生程式。特洛依木馬：這是不會複製的獨立程式，它看似無害但實際藏有惡意用途。特洛依木馬通常會將其他的攻擊程式帶入系統。
惡意遠端程式：這類含有不良意圖的軟體會從遠端系統傳資料到本地端的系統。入侵者用它把病毒、蠕蟲與特洛依木馬傳送到使用者的電腦中。惡意遠端程式利用預設權限與未做升級的漏洞入侵電腦。
追蹤Cookie：這些被許多網站使用的Cookie，可以讓第三者記錄使用者的行為。入侵者通常會把追蹤Cookie與網頁臭蟲一起結合使用。
以上是對公司的使用者與網路造成威脅的惡意軟體主要分類。他們入侵成功以後要怎麼辦？有效的惡意軟體處理步驟有下列六點：
事先規劃：建立針對特定惡意軟體的處理流程與計劃。針對某類惡意軟體進行訓練與演練，來測試你的流程與計劃。在實際需要使用時，要確定你的計劃能成功執行。
偵測與分析：佈署病毒 間諜軟體防護程式軟體。詳讀惡意軟體的報告與警告資訊。在CD或DVD之類的可攜儲存媒體上，建立工具程式組，含有可以辨認惡意軟體，掃描執行中程式與進行其他分析動作的最新版工具軟體。
抑制擴散：為了防止惡意軟體災難的影響範圍擴大，必須要關閉伺服器 工作站或停止一些服務（如電子郵件、上網瀏覽或網路存取）。因此要決定好誰有這個權限來根據惡意程式的活動情況作出決定。早期的抑制可以讓惡意軟體的擴散停止，同時防止公司內部與外部網路更嚴重的系統損害。
徹底移除：矛須事先準備好在系統上移除各種惡意軟體需要的各類技術。
回復運作：回復被感染系統上資料的可靠性，整合性與可用性，同時回復被抑制的服務與功能。這步驟可能包括重新將系統連上網路，從備份中重建被毀的系統。回復工作小組應該要評估重建後網路服務的安全風險，同時服務回復工程的進行，必須基於這些風險評估來考量。
回報：在每次惡意軟體災害發生後要學到教訓，防止未來類似問題的發生。調整既有的安全政策、軟體設定、以及惡意軟體偵測與防範的措施。
結論　
在對付惡意軟體災害時，你就算裝了市面上所有的防護軟體，還是有可能會出事！因此必須要對使用者作好教育，讓他們知道如何知道受感染，以及在被感染時要進行哪些處理。