Як запобігти атакам з нульовим днем


21

Традиційно всі антивірусні програми та системи IPS працюють за допомогою методів на основі підписів. Однак це не дуже допомагає запобігти атакам з нульовим днем .

Отже, що можна зробити, щоб запобігти нападам нульових днів?


1
Окрім пунктів відповіді, які я запропонував нижче, навіть якщо ви запускаєте якесь програмне забезпечення з нульовим днем ​​експлуатації. Якщо ви не працюєте з цією системою в загальнодоступному Інтернеті, ви не є вразливими. Отже, брандмауери є вашим другом, і якщо ви дійсно хочете запустити якесь новомодне програмне забезпечення для ризику безпеки, тоді ви можете встановити його в якійсь іншій мережі в хмарі, де воно може зламатись і не впливати на будь-які інші системи.
Том Н

0-денні та невідомі загрози саме тому, що евристика використовується в будь-якому антивірусному / протишкодному програмному забезпеченні, яке вартує назви. На жаль, евристика часто відключається через хіт виступу.
Джон Гарденєр

0days - це лише категорія, кожен член цієї категорії сильно відрізняється від інших. Ви не можете мати підхід, коли ви плануєте впровадити безпеку проти 0 днів. Це якість вашої системи безпеки, що врешті-решт зробить різницю між успішним прихованим вторгненням та неробочим підвигом чи виявленим подвигом. Як хтось сказав, орієнтуйтеся на виявлення та швидкий час реагування. Контролюйте кожну систему, трафік та будьте в курсі оновлень безпеки. Це штатна робота, або, принаймні, така повинна бути.
Акі

Напевно, отримайте і тут хороші відповіді - security.stackexchange.com
Bratch

Linux скрізь. немає вікон. запитати google.
Ніл МакГуйган

Відповіді:


37

Я думаю, ти визнаєш там цікаву правду системного адміністру, яка є тим

якщо ви не зможете зменшити ймовірність зламування до нуля, то, врешті-решт , у якийсь момент ви збираєтесь зламати .

Це лише основна істина математики та ймовірність, що для будь-якої ненульової ймовірності події. Подія зрештою трапляється ...

Тож два золотих правила зменшення впливу цієї "зрештою зламаної" події є такими;

  1. Принцип найменшої пільги

    Вам слід налаштувати служби для роботи як користувача з найменшими можливими правами, необхідними для виконання завдань служби. Цей вміст може містити хакер навіть після того, як вони ввірваються до машини.

    Наприклад, зловмисник, який пробивається в систему, використовуючи нульовий день експлуатації сервісу веб-сервера Apache, з великою ймовірністю обмежується лише системною пам'яттю та файловими ресурсами, до яких може отримати доступ цей процес. Хакер зможе завантажити ваші вихідні файли html та php і, ймовірно, заглядати у вашу базу даних mysql, але вони не повинні мати змогу отримати корінь або розширити своє вторгнення за межі файлів, доступних до apcheche.

    Багато установок веб-сервера Apache за замовчуванням створюють користувача і групу "apache" за замовчуванням, і ви можете легко налаштувати головний файл конфігурації Apache (httpd.conf) для запуску apache за допомогою цих груп.

  2. Принцип поділу пільг

    Якщо ваш веб-сайт потребує доступу до бази даних лише для читання, тоді створіть обліковий запис, який має лише дозволи на читання, і лише до цієї бази даних.

    SElinux - хороший вибір для створення контексту для безпеки, ще один інструмент - броня програми . Бастилія була попереднім вибором для загартовування.

    Зменшіть наслідок будь-якої атаки, відокремивши потужність компрометованої у неї власної "Скриньки".

Срібні правила також хороші.

Використовуйте наявні інструменти. (Навряд чи це можна зробити так само, як хлопці, які є експертами з безпеки, тому використовуйте їх таланти, щоб захистити себе.)

  1. Шифрування відкритого ключа забезпечує чудову безпеку. використай це. скрізь.
  2. користувачі - ідіоти, застосовують складність паролів
  3. зрозумійте, чому ви робите винятки з вищезазначених правил. регулярно переглядайте свої винятки.
  4. залучити когось до відповідальності за збій. це тримає вас на ногах.

Я думаю, що це правда - за визначенням, не можна багато зробити, щоб запобігти 0-денному подвигу. Якщо у вас є вразливе програмне забезпечення, у вас є вразливе програмне забезпечення - тому єдиний спосіб дії - це зменшити будь-яку поверхню удару та атаки. Відмінний момент щодо брандмауерів, хоча варто пам’ятати про те, що 0-денний подвиг для MS Outlook може бути надісланий, наприклад, електронною поштою.
Дан

2
Так, пункт про поштові продукти MS. Але є аналогії між брандмауерами для пошти, наприклад, будь-хто з усіма відключеними розширеннями типу VBscript, ActiveX, OLE міг би пропустити всі взломи повністю, блаженно не знаючи про розправу ... ;-)
Том H

1
+1, але wrt до срібного правила 1 "Хто думає, що його проблему можна вирішити за допомогою криптографії, той не розуміє її проблеми і не розуміє криптографії." - Needham / Lampson;)
Арахіс

@Peanut Мені подобається відкритий ключ, оскільки він уникає використання паролів. Після теоретичного вторгнення не потрібно скидати паролі, оскільки паролів для скидання немає, і лише відкритий ключ порушений. Навіть хешируемую базу даних паролів можна використовувати для перевірки або відключення офлайн-рахунків.
Том Н

@TomH Мій коментар був язиком у щоках :) Цікаво, тож у вашій системі, імовірно, сервер надсилає клієнту nonce + інші дані для підписання, і клієнт використовує ім'я користувача + підписані дані для входу?
Арахіс

16

Білий список, не чорний список

Ви описуєте підхід до чорного списку. Білісний підхід був би набагато безпечнішим.

Ексклюзивний клуб ніколи не намагатиметься перерахувати всіх, хто не може зайти; вони перерахують усіх, хто може зайти, і виключать тих, хто не є у списку.

Так само спроба перерахувати все, до чого не має доступу машина, приречена. Обмеження доступу до короткого списку програм / IP-адрес / користувачів було б ефективнішим.

Звичайно, як і будь-що інше, це стосується певних компромісів. Зокрема, білий список масово незручний і вимагає постійного обслуговування.

Щоб піти далі в компромісі, ви можете отримати високу безпеку, відключивши машину від мережі.


+1 Це чудове доповнення до відповіді Тома Х.
Чад Гаррісон

1
Небезпека полягає в такому наборі правил, що переростає у такий розмір, коли його неможливо зрозуміти, підтримувати, пояснювати та перевіряти. Що смертельно.
rackandboneman

11

Виявлення легше (і надійніше), ніж запобігання

За визначенням ви не можете запобігти атаці нульового дня. Як зазначали інші, ви можете зробити багато, щоб зменшити вплив нападу нульового дня, і вам слід, але це ще не кінець історії.

Дозвольте зазначити, що крім того, ви повинні присвятити ресурси виявленню, коли стався напад, що зробив нападник та як це зробив нападник. Комплексна та безпечна реєстрація всіх дій, які може здійснити хакер, і полегшить виявлення нападу, і, що ще важливіше, визначить заподіяну шкоду та виправлення, необхідне для відновлення після нападу.

У багатьох контекстах фінансових послуг вартість безпеки в частині затримок і накладних витрат при здійсненні транзакцій настільки висока, що має сенс зосередити ресурси на виявленні та скасування шахрайських операцій, а не на вживанні масштабних заходів, спрямованих на запобігання їх в першу чергу. . Теорія полягає в тому, що жоден обсяг заходів не буде на 100% ефективним, тому механізми виявлення та повернення потрібно все-таки будувати. Більше того, такий підхід витримав випробування часом.


1
+1 Так, я думаю, ви не можете відповісти, якщо ви не знаєте, що це сталося ... дали ще один шанс відповісти, я, мабуть, застряг у чомусь про 6 кроків ДАНС ...
Том Н

+1, дуже правда. Профілактика потребує аудиту. А аудит не може довести, що система не має жодних помилок.
Акі

@Том, ви завжди можете редагувати свою відповідь.
Старий Про

4

Нульовий день не означає, що підпис не відомий. Це означає, що не доступний патч для користувачів програмного забезпечення, який закриває вразливість. Таким чином, IPS корисно захищати від використання вразливих місць за нульовий день. Але не варто покладатися тільки на це. Створюйте та дотримуйтесь твердої політики безпеки, загартовуйте свої сервери, оновлюйте програмне забезпечення та завжди майте "План B"


3

Grsecurity або SELinux добре допомагають запобігти атакам 0 днів шляхом загартовування ядра.

Цитата з веб-сайту "Тільки безпека безпеки забезпечує захист від нульового дня та інших розширених загроз, які купують адміністраторам цінний час, а виправлення вразливості вибиваються на дистрибуцію та тестування виробництва".


2

Якщо ви використовуєте Apache, модулі, такі як mod_security, можуть допомогти вам запобігти поширеним векторам атаки. З mod_security ви можете

  • блокувати запити, схожі на атаки ін'єкції SQL
  • блокувати клієнтів, IP-адреси яких перебувають у чорному списку на деяких RBL
  • перенаправити запит на якесь інше місце, якщо деякі умови, визначені вами, виконані
  • блокувати запити на основі країни клієнта
  • автоматично виявляти та блокувати загальні шкідливі боти

... і багато, багато іншого. Звичайно, використовуючи складний модуль на зразок mod_security, цілком можливо також заблокувати фактичних клієнтів, а з боку сервера mod_security додає деяку накладну витрату.

Також обов'язково потрібно оновлювати серверне програмне забезпечення та переконайтесь, що ви відключили кожен модуль і демон, який ви не будете використовувати.

Політика жорсткого брандмауера є обов'язковою, і в багатьох випадках додаткові покращення безпеки, такі як SELinux або grsecurity, можуть зупинити атаку.

Але що б ви не робили, погані хлопці дуже терплячі, дуже креативні та дуже вмілі. Складіть детальний план, що робити, коли вас зламають.


1

Я хотів би додати кілька бронзових правил:

  1. Якщо ви потрапили в дію, не запускайте те, що не потребує бігу.

  2. Не робіть себе ціллю, гідною цілеспрямованої, цілеспрямованої атаки.

  3. Захист від будь-якого можливого такого цілеспрямованого нападу, як би часто не є економічним / недоцільним. Перевірте, хто може серйозно зацікавитись, щоби зламати те, і почати з цього.

  4. Вважаючи "мінімізацію зовнішньо доступної інформації" та "відхід від добре відомих значень за замовчуванням" як не що інше, як безпеку через невідомість (часто неправильно розуміється як "нікчемний" на відміну від "шару, який сам по собі є недостатнім"), і опускати його - небезпечну зарозумілість. Замикаючий замок на дверях не убереже злодія, але, ймовірно, убереже вовка.


1

Роздута машина з величезним набором безпеки часто перетворює посередні ПК на динозаврів, а чотири Core в звичайні старі ПК. Я зафіксував достатньо (тисяч) людей, щоб зрозуміти, що це здебільшого правда. Якщо ви нічого не розумієте, це 100% безпека, а вартість продуктивності падає експоненціально як безпека, тоді як ймовірність зараження лише падає лінійної моди. Більшість результатів, коли я зупинився на порівнянні, склав максимум 90% під час реального світового тесту на тисячі ризиків, тобто 10% інфекцій були не виявлені або занадто пізно. тоді як затримка на ПК збільшилася на 200 до 900%. OSX має ідеальну ситуацію, коли важливо не краща безпека, але ризики нападу були меншими через те, що менші цілі мали лише 4% частки ринку в продуктах, що не мають телефонів / планшетів у 2010 році. Це зміниться, але я не буду змінюватися моя філософія збереження моєї ОС чистою, худорлявою та середньою. Я роблю те ж саме для XP та Win7. У мене є арсенал високих інструментів для ремонту, але потрібен лише один додаток, щоб виправити всіх, хто заразився, і це займає лише 10-20 хвилин, а не години чи дні.

Мої методи, які працюють;

  1. Навчайте користувачів, не натискайте на попередження про безпеку, якщо ви дійсно не знаєте, що вони, на відміну від сотень ROgues, які є копіями хороших сповіщень. Ті, хто не може навчитися, легко отримують акаунти, які не є адміністраторами, та браузери з піском, у яких відключений Java та JS. Але якщо я дозволю це для них, не хвилюйтесь, лише 15 ~ 20 хвилин відновити чи відремонтувати.

    1. Відновлення SYstem - це добре, але має багато обмежень, одне - це те, що елементи в папці «Документи» та папки «Темп користувача» захищені там, де драйвери-шахраї можуть встановитись та запуститись та заразити вас під час наступного завантаження.

    2. UAC корисний для багатьох речей, але такий PITA, що я ніколи не використовую і покладаюся на кращі інструменти для виявлення стартапів та / або нових процесів, включаючи, але не обмежуючись ними;

      • Winpatrol.com як і раніше найкраща інвестиція, яку я зробив для безпеки, і все ще безкоштовна для інших. Він охоплює 80% проблем, де стартапи додаються перед виконанням і можуть бути виявлені та відключені або видалені за допомогою запиту користувача. Однак якщо ви занепокоєні, хто не може приймати рішення приймати таблетки або просто використовувати Windows Defender . Не найкраще для покриття, але одне з найвищих для співвідношення баг / долар .. прикидання / втрата перформації або збільшення коефіцієнта затримки.

      • Утиліта запуску Mike Lin - це найлегший перехоплювач стартапів, який зберігається у понад десятках локацій реєстру

      • Script Guard - корисний перехоплювач сценаріїв для дивовижних сценаріїв

      • ProcessGuard стара програма, яка не працює, яка працює як брандмауер для будь-якого нового exectuable, але вимагає схвалення, однак вона безпечна і нахилена після того, як ви приймаєте надійне джерело або ігноруєте або блокуєте недовірене джерело.

      • Додаток чорного списку для вашого веб-переглядача такий, як Веб-довіра (WOT) , але Chrome є частиною, включеним аналогічно, але меншою мірою.

      • чорний список може отримати величезну кількість файлів HOSTS, і якщо ви користуєтесь цим (> 1 Мб величезний при скануванні в 4КБ шматки кожні 10 хвилин. Але, якщо це зробити, я настійно рекомендую відключити службу кешування DNS, щоб зменшити надмірне періодичне сканування кожним додатком, який працює з привітами брандмауера.

      • Вимкніть індексацію файлів, якщо ви дійсно не використовуєте його для електронної пошти та інших речей, тому що вона породжує ваш AV-пакет для того, щоб кожен раз, знову і знову сканувати всі файли, до яких можна отримати доступ.

Деякі можуть взяти виняток із цього часткового списку вгорі голови, але я економлю час, захищаючи свій ПК та працюючи в худорлявому середовищі. Регулярні ревізії на підтвердження моєї безпеки проводяться вночі, підтверджуючи, що моя практика безтурботних виправданих. У мене все ще є тисяча журналів HJT, журнали combofix.txt та журнали Runscanner, які підтверджують мою думку про ліки та покращення балансу безпеки / ефективності.

  • Уникайте недбалого завантаження / встановлення медіа-файлів EXE або Windows, які можуть виконувати шрифти (наприклад, .WMA, .WMV) на відміну від .mp3 або .avi.

  • Уникайте великих рекламних кнопок для завантаження чи оновлення вашої безпеки, що може відволікати вашу увагу на безкоштовне оновлення агрегаторів для завантаження, таких як гіпопотік, ком. Будьте дуже обережні. Деякі сайти використовують сторонні оголошення та не мають контролю над вмістом.

  • Я задокументував один прямий приклад у презентації Powerpoint на 10 сторінок, якщо хтось зацікавлений, запитайте. Наскільки легко ігнорування вищезазначеного адиву може заразити вас.

Все зараз.

Тоні Стюарт Е.Е. з 1975 року.

Використовуючи наш веб-сайт, ви визнаєте, що прочитали та зрозуміли наші Політику щодо файлів cookie та Політику конфіденційності.
Licensed under cc by-sa 3.0 with attribution required.