Традиційно всі антивірусні програми та системи IPS працюють за допомогою методів на основі підписів. Однак це не дуже допомагає запобігти атакам з нульовим днем .
Отже, що можна зробити, щоб запобігти нападам нульових днів?
Традиційно всі антивірусні програми та системи IPS працюють за допомогою методів на основі підписів. Однак це не дуже допомагає запобігти атакам з нульовим днем .
Отже, що можна зробити, щоб запобігти нападам нульових днів?
Відповіді:
Я думаю, ти визнаєш там цікаву правду системного адміністру, яка є тим
якщо ви не зможете зменшити ймовірність зламування до нуля, то, врешті-решт , у якийсь момент ви збираєтесь зламати .
Це лише основна істина математики та ймовірність, що для будь-якої ненульової ймовірності події. Подія зрештою трапляється ...
Тож два золотих правила зменшення впливу цієї "зрештою зламаної" події є такими;
Принцип найменшої пільги
Вам слід налаштувати служби для роботи як користувача з найменшими можливими правами, необхідними для виконання завдань служби. Цей вміст може містити хакер навіть після того, як вони ввірваються до машини.
Наприклад, зловмисник, який пробивається в систему, використовуючи нульовий день експлуатації сервісу веб-сервера Apache, з великою ймовірністю обмежується лише системною пам'яттю та файловими ресурсами, до яких може отримати доступ цей процес. Хакер зможе завантажити ваші вихідні файли html та php і, ймовірно, заглядати у вашу базу даних mysql, але вони не повинні мати змогу отримати корінь або розширити своє вторгнення за межі файлів, доступних до apcheche.
Багато установок веб-сервера Apache за замовчуванням створюють користувача і групу "apache" за замовчуванням, і ви можете легко налаштувати головний файл конфігурації Apache (httpd.conf) для запуску apache за допомогою цих груп.
Принцип поділу пільг
Якщо ваш веб-сайт потребує доступу до бази даних лише для читання, тоді створіть обліковий запис, який має лише дозволи на читання, і лише до цієї бази даних.
SElinux - хороший вибір для створення контексту для безпеки, ще один інструмент - броня програми . Бастилія була попереднім вибором для загартовування.
Зменшіть наслідок будь-якої атаки, відокремивши потужність компрометованої у неї власної "Скриньки".
Срібні правила також хороші.
Використовуйте наявні інструменти. (Навряд чи це можна зробити так само, як хлопці, які є експертами з безпеки, тому використовуйте їх таланти, щоб захистити себе.)
Ви описуєте підхід до чорного списку. Білісний підхід був би набагато безпечнішим.
Ексклюзивний клуб ніколи не намагатиметься перерахувати всіх, хто не може зайти; вони перерахують усіх, хто може зайти, і виключать тих, хто не є у списку.
Так само спроба перерахувати все, до чого не має доступу машина, приречена. Обмеження доступу до короткого списку програм / IP-адрес / користувачів було б ефективнішим.
Звичайно, як і будь-що інше, це стосується певних компромісів. Зокрема, білий список масово незручний і вимагає постійного обслуговування.
Щоб піти далі в компромісі, ви можете отримати високу безпеку, відключивши машину від мережі.
За визначенням ви не можете запобігти атаці нульового дня. Як зазначали інші, ви можете зробити багато, щоб зменшити вплив нападу нульового дня, і вам слід, але це ще не кінець історії.
Дозвольте зазначити, що крім того, ви повинні присвятити ресурси виявленню, коли стався напад, що зробив нападник та як це зробив нападник. Комплексна та безпечна реєстрація всіх дій, які може здійснити хакер, і полегшить виявлення нападу, і, що ще важливіше, визначить заподіяну шкоду та виправлення, необхідне для відновлення після нападу.
У багатьох контекстах фінансових послуг вартість безпеки в частині затримок і накладних витрат при здійсненні транзакцій настільки висока, що має сенс зосередити ресурси на виявленні та скасування шахрайських операцій, а не на вживанні масштабних заходів, спрямованих на запобігання їх в першу чергу. . Теорія полягає в тому, що жоден обсяг заходів не буде на 100% ефективним, тому механізми виявлення та повернення потрібно все-таки будувати. Більше того, такий підхід витримав випробування часом.
Нульовий день не означає, що підпис не відомий. Це означає, що не доступний патч для користувачів програмного забезпечення, який закриває вразливість. Таким чином, IPS корисно захищати від використання вразливих місць за нульовий день. Але не варто покладатися тільки на це. Створюйте та дотримуйтесь твердої політики безпеки, загартовуйте свої сервери, оновлюйте програмне забезпечення та завжди майте "План B"
Grsecurity або SELinux добре допомагають запобігти атакам 0 днів шляхом загартовування ядра.
Цитата з веб-сайту "Тільки безпека безпеки забезпечує захист від нульового дня та інших розширених загроз, які купують адміністраторам цінний час, а виправлення вразливості вибиваються на дистрибуцію та тестування виробництва".
Якщо ви використовуєте Apache, модулі, такі як mod_security, можуть допомогти вам запобігти поширеним векторам атаки. З mod_security ви можете
... і багато, багато іншого. Звичайно, використовуючи складний модуль на зразок mod_security, цілком можливо також заблокувати фактичних клієнтів, а з боку сервера mod_security додає деяку накладну витрату.
Також обов'язково потрібно оновлювати серверне програмне забезпечення та переконайтесь, що ви відключили кожен модуль і демон, який ви не будете використовувати.
Політика жорсткого брандмауера є обов'язковою, і в багатьох випадках додаткові покращення безпеки, такі як SELinux або grsecurity, можуть зупинити атаку.
Але що б ви не робили, погані хлопці дуже терплячі, дуже креативні та дуже вмілі. Складіть детальний план, що робити, коли вас зламають.
Я хотів би додати кілька бронзових правил:
Якщо ви потрапили в дію, не запускайте те, що не потребує бігу.
Не робіть себе ціллю, гідною цілеспрямованої, цілеспрямованої атаки.
Захист від будь-якого можливого такого цілеспрямованого нападу, як би часто не є економічним / недоцільним. Перевірте, хто може серйозно зацікавитись, щоби зламати те, і почати з цього.
Вважаючи "мінімізацію зовнішньо доступної інформації" та "відхід від добре відомих значень за замовчуванням" як не що інше, як безпеку через невідомість (часто неправильно розуміється як "нікчемний" на відміну від "шару, який сам по собі є недостатнім"), і опускати його - небезпечну зарозумілість. Замикаючий замок на дверях не убереже злодія, але, ймовірно, убереже вовка.
Роздута машина з величезним набором безпеки часто перетворює посередні ПК на динозаврів, а чотири Core в звичайні старі ПК. Я зафіксував достатньо (тисяч) людей, щоб зрозуміти, що це здебільшого правда. Якщо ви нічого не розумієте, це 100% безпека, а вартість продуктивності падає експоненціально як безпека, тоді як ймовірність зараження лише падає лінійної моди. Більшість результатів, коли я зупинився на порівнянні, склав максимум 90% під час реального світового тесту на тисячі ризиків, тобто 10% інфекцій були не виявлені або занадто пізно. тоді як затримка на ПК збільшилася на 200 до 900%. OSX має ідеальну ситуацію, коли важливо не краща безпека, але ризики нападу були меншими через те, що менші цілі мали лише 4% частки ринку в продуктах, що не мають телефонів / планшетів у 2010 році. Це зміниться, але я не буду змінюватися моя філософія збереження моєї ОС чистою, худорлявою та середньою. Я роблю те ж саме для XP та Win7. У мене є арсенал високих інструментів для ремонту, але потрібен лише один додаток, щоб виправити всіх, хто заразився, і це займає лише 10-20 хвилин, а не години чи дні.
Мої методи, які працюють;
Навчайте користувачів, не натискайте на попередження про безпеку, якщо ви дійсно не знаєте, що вони, на відміну від сотень ROgues, які є копіями хороших сповіщень. Ті, хто не може навчитися, легко отримують акаунти, які не є адміністраторами, та браузери з піском, у яких відключений Java та JS. Але якщо я дозволю це для них, не хвилюйтесь, лише 15 ~ 20 хвилин відновити чи відремонтувати.
Відновлення SYstem - це добре, але має багато обмежень, одне - це те, що елементи в папці «Документи» та папки «Темп користувача» захищені там, де драйвери-шахраї можуть встановитись та запуститись та заразити вас під час наступного завантаження.
UAC корисний для багатьох речей, але такий PITA, що я ніколи не використовую і покладаюся на кращі інструменти для виявлення стартапів та / або нових процесів, включаючи, але не обмежуючись ними;
Winpatrol.com як і раніше найкраща інвестиція, яку я зробив для безпеки, і все ще безкоштовна для інших. Він охоплює 80% проблем, де стартапи додаються перед виконанням і можуть бути виявлені та відключені або видалені за допомогою запиту користувача. Однак якщо ви занепокоєні, хто не може приймати рішення приймати таблетки або просто використовувати Windows Defender . Не найкраще для покриття, але одне з найвищих для співвідношення баг / долар .. прикидання / втрата перформації або збільшення коефіцієнта затримки.
Утиліта запуску Mike Lin - це найлегший перехоплювач стартапів, який зберігається у понад десятках локацій реєстру
Script Guard - корисний перехоплювач сценаріїв для дивовижних сценаріїв
ProcessGuard стара програма, яка не працює, яка працює як брандмауер для будь-якого нового exectuable, але вимагає схвалення, однак вона безпечна і нахилена після того, як ви приймаєте надійне джерело або ігноруєте або блокуєте недовірене джерело.
Додаток чорного списку для вашого веб-переглядача такий, як Веб-довіра (WOT) , але Chrome є частиною, включеним аналогічно, але меншою мірою.
чорний список може отримати величезну кількість файлів HOSTS, і якщо ви користуєтесь цим (> 1 Мб величезний при скануванні в 4КБ шматки кожні 10 хвилин. Але, якщо це зробити, я настійно рекомендую відключити службу кешування DNS, щоб зменшити надмірне періодичне сканування кожним додатком, який працює з привітами брандмауера.
Вимкніть індексацію файлів, якщо ви дійсно не використовуєте його для електронної пошти та інших речей, тому що вона породжує ваш AV-пакет для того, щоб кожен раз, знову і знову сканувати всі файли, до яких можна отримати доступ.
Деякі можуть взяти виняток із цього часткового списку вгорі голови, але я економлю час, захищаючи свій ПК та працюючи в худорлявому середовищі. Регулярні ревізії на підтвердження моєї безпеки проводяться вночі, підтверджуючи, що моя практика безтурботних виправданих. У мене все ще є тисяча журналів HJT, журнали combofix.txt та журнали Runscanner, які підтверджують мою думку про ліки та покращення балансу безпеки / ефективності.
Уникайте недбалого завантаження / встановлення медіа-файлів EXE або Windows, які можуть виконувати шрифти (наприклад, .WMA, .WMV) на відміну від .mp3 або .avi.
Уникайте великих рекламних кнопок для завантаження чи оновлення вашої безпеки, що може відволікати вашу увагу на безкоштовне оновлення агрегаторів для завантаження, таких як гіпопотік, ком. Будьте дуже обережні. Деякі сайти використовують сторонні оголошення та не мають контролю над вмістом.
Все зараз.
Тоні Стюарт Е.Е. з 1975 року.