僵尸网络的规模不是问题所在

　　Stewart表示最强大的僵尸网络不一定是规模最大的。例如，Flame恶意软件工具包位于伊朗的僵尸网络不到200台受感染机器组成，然而在幕后它支配着强大的“军火库”。根据该攻击的有限范围，人们相信它是国家级别所驱动的电子间谍活动，能够让该僵尸网络的操纵者隐秘地对受害者进行窃听、偷窃数据并且捕获视频多年之久。

　　相比之下，更大规模的僵尸网络让电子罪犯们可以利用受感染计算机计算能力，传播恶意软件以及执行其它恶意活动。它们可能被用于加强拒绝服务攻击来摧毁web站点、或是快速传播恶意软件并窃取帐户的凭证信息。

　　感染Zeus和SpyEye系列恶意软件的机器组成了大规模的僵尸网络，多年来对金融行业造成了极大的破坏。由于网络罪犯在恶意软件后建立的业务模式，这些僵尸网络迅速地传播。使用自动化的攻击软件套件，罪犯们建立了一个附属网络，奖赏其他感染机器的罪犯。Zeus木马在2006年声名狼藉。该恶意软件可以编码来伪装web站点、窃取帐户凭证并且耗光其银行帐号的金钱。安全公司通过中断与其有相关的“命令与控制”服务器，一直在努力捣毁该僵尸网络。但是尽管付出这些努力，罪犯用内置的机制把这些服务器重新恢复上线。最近的微软采取法律行动来彻底摧毁位于美国的Zeus僵尸网络服务器。

　　侦测：人为因素

　　没有比指派一名技能熟练的IT专业人员来寻找公司网络异常更好的技术，SANS研究院的首席研究官Johannes Ullrich表示。技能熟练的系统管理员应该检查网络流量和系统日志，在标识出的潜在问题以进行深入调查时应用创新的思路。数据包分析器以及其它过滤工具可以帮助网络安全人员判断是否可疑的流量实质上是恶意的。“许多企业仍然依赖过时、基于签名的防病毒软件。但是针对性攻击以及此类的僵尸网络应该依靠专业人员”。

　　许多企业将网络监控活动外包已经成为趋势，但是Ullrich表示从他的经验来看，外包的安全监控通常无法侦测到最为重要的针对性攻击和僵尸网络感染。外包的服务遵循一个检查列表，每个小时要处理许多具体的请求，如果外包的服务是帮助系统管理员“发现下一个新的问题而不是昨天的僵尸机器”会更佳。“他们没有真正地理解业务，所以也就是为什么一些企业花重金把监控工作重新交由内部负责。”

　　终端安全结合基于网络的安全技术、如主机入侵防御以及其它的基于信任度和过滤的系统能够帮助缓解恶意软件感染情况，Securosis LLC公司的总裁兼分析师Mike Rothman表示，该公司是一家位于亚利桑那州凤凰城的安全研究公司。最近该公司总结它的恶意软件侦测系列研究，该研究关注于为什么侦测是如此具有挑战性。

　　网络安全设备可以提供应用场景和用户行为，但是它需要调整来避免对终端用户造成严重的影响，Rothman在一篇描述该公司研究成果的博客中表示。这对于Web过滤和基于信任度的技术来说同样存在。“我们需要在充分的安全和不要过于干扰用户之间找到平衡，引导对掌握设备和控制设备的限制，让设备在任何位置和网络连接中都可用。