Как предотвратить атаки с нулевым днем

Традиционно все антивирусные программы и системы IPS работают с использованием технологий на основе сигнатур. Однако это не помогает предотвратить атаки с нулевым днем ​​.

Итак, что можно сделать для предотвращения атак с нулевым днем?

21 голос | спросил ashmish2 22 Maypm12 2012, 14:11:38

8 ответов


37

Я думаю, вы признаете интересную правку sys-admin там, которая заключается в том, что

  

, если вы не можете уменьшить вероятность быть взломанной до нуля , а затем в конечном итоге , в какой-то момент вы получите взломанный .

Это просто основная истина математики и вероятности, что для любой ненулевой вероятности события. Событие в конечном итоге происходит ...

Таким образом, 2 золотых правила для уменьшения влияния этого события «в конечном итоге взломали»:

  1. Принцип наименьших привилегий

    Вы должны настроить службы для запуска в качестве пользователя с наименьшими возможными правами, необходимыми для выполнения задач службы. Это может содержать хакера даже после того, как они переходят на машину.

    В качестве примера хакер, взломанный в систему с использованием использования сервиса веб-сервера Apache с нулевым дном, скорее всего, будет ограничен только системной памятью и файловыми ресурсами, к которым может быть доступен этот процесс. Хакер сможет загрузить ваши исходные файлы html и php и, возможно, заглянуть в вашу базу данных mysql, но они не смогут получить root или расширить их вторжение за пределами файлов, доступных для доступа к файлам.

    Многие установки веб-сервера Apache по умолчанию создают пользователя и группу «apache» по умолчанию, и вы можете легко настроить основной файл конфигурации Apache (httpd.conf) для запуска apache с помощью этих групп.

  2. Принцип разделения привилегий

    Если вашему веб-сайту нужен только доступ только для чтения к базе данных, создайте учетную запись, которая имеет разрешения только для чтения и только для этой базы данных.

    SElinux - хороший выбор для создания контекста безопасности, app-armor - еще один инструмент , Bastille был предыдущим выбором для упрочения.

    Уменьшить последствия любой атаки, разделив мощность службы, которая была скомпрометирована в ее собственный «ящик».

Серебряные правила также хороши.

Используйте доступные инструменты. (Очень маловероятно, что вы можете сделать так же, как и парни, которые являются экспертами по безопасности, поэтому используйте их таланты, чтобы защитить себя.)

  1. шифрование с открытым ключом обеспечивает отличную безопасность. используй это. во всем мире.
  2. пользователи являются идиотами, применяют сложность пароля
  3. понять, почему вы делаете исключения из правил выше. регулярно проверяйте свои исключения.
  4. удержать кого-то, чтобы учесть ошибку. он держит вас на цыпочках.
ответил Tom H 22 Maypm12 2012, 14:27:18
16

Белый список, не черный список

Вы описываете подход черного списка. Подход с белым списком будет намного безопаснее.

Эксклюзивный клуб никогда не будет пытаться перечислить всех, кто не может ; они будут перечислять всех, кто может , войти и исключить те, которые не указаны в списке.

Аналогично, пытаясь перечислить все, что не должен получить доступ к машине, обречен. Ограничение доступа к краткому списку программ /IP-адресов /пользователей будет более эффективным.

Конечно, как и все остальное, это связано с некоторыми компромиссами. В частности, белый список является массово неудобным и требует постоянного обслуживания.

Чтобы пойти еще дальше в компромисс, вы можете получить отличную безопасность, отключив машину от сети.

ответил Nathan Long 22 Maypm12 2012, 20:24:47
11

Обнаружение проще (и более надежно), чем предотвращение

По определению вы не можете предотвратить атаку нулевого дня. Как указывали другие, вы можете сделать многое, чтобы уменьшить влияние атаки с нулевым днем, и вы должны, но это еще не конец истории.

Позвольте мне отметить, что кроме того, вы должны посвящать ресурсы обнаружению, когда произошла атака, что сделал злоумышленник, и как это сделал злоумышленник. Всеобъемлющее и безопасное протоколирование всех действий, которые может предпринять хакер, облегчит обнаружение атаки и, что более важно, определит нанесенный ущерб и исправление, необходимое для восстановления после атаки.

Во многих контекстах финансовых услуг стоимость безопасности с точки зрения задержек и накладных расходов при выполнении транзакций настолько высока, что имеет смысл сосредоточить ресурсы на обнаружении и обращении с мошенническими транзакциями, а не на принятие масштабных мер, направленных на предотвращение их первое место. Теория состоит в том, что никакие меры не будут эффективными на 100%, поэтому механизмы обнаружения и разворота должны быть построены в любом случае. Более того, этот подход выдержал испытание временем.

ответил Old Pro 22 Maypm12 2012, 23:07:27
4

Нулевой день не означает, что подпись неизвестна. Это означает, что для пользователей программного обеспечения отсутствует патч, который закрывает уязвимость. Таким образом, IPS полезно защищать от использования уязвимостей с нулевым днем. Но вы не должны полагаться только на это. Создайте и соблюдайте прочную политику безопасности, упрочите свои серверы, обновите программное обеспечение и всегда будете иметь «План B»

ответил DukeLion 22 Maypm12 2012, 14:37:32
3

Grsecurity или SELinux хороши в предотвращении 0-дневных атак путем упрочения ядра.

Цитата с сайта «Только grsecurity обеспечивает защиту от нулевого дня и других расширенных угроз, которые покупают ценное время администратора, в то время как исправления уязвимостей выходят за рамки дистрибутивов и производственных испытаний».

ответил h00j 22 Maypm12 2012, 14:39:01
2

Если вы используете Apache, модули, такие как mod_security , могут помочь вам предотвратить общие атаки. С mod_security вы можете

  • блокировать запросы, похожие на атаки SQL-инъекций.
  • блокировать клиентов, чьи IP-адреса занесены в черный список на некоторых RBL
  • перенаправить запрос в другое место, если выполнены определенные условия
  • блокировать запросы на основе страны клиента
  • обнаружение & блокировать распространенных вредоносных ботов автоматически

... и многое, многое другое. Конечно, используя сложный модуль, например mod_security, вполне возможно также заблокировать ваших реальных клиентов, а на стороне сервера mod_security добавляет некоторые накладные расходы.

Также необходимо обновить программное обеспечение сервера и убедиться, что вы отключили каждый модуль и amp; демона, который вы не будете использовать.

Обязательные политики межсетевого экрана являются обязательными, и во многих случаях дополнительные улучшения безопасности, такие как SELinux или grsecurity, могут остановить атаку.

Но, что бы вы ни делали, плохие парни очень терпеливы, очень креативны и очень квалифицированы. Имейте подробный план, что делать, когда вас взломают.

ответил Janne Pikkarainen 22 Maypm12 2012, 15:15:09
1

Я хотел бы добавить несколько бронзовых правил:

  1. Если они открыты, не запускайте то, что не нужно запускать.

  2. Не ставьте себя целью, достойной целенаправленной атаки.

  3. Защита от любой такой целенаправленной атаки, возможно, часто неэкономична /непрактична. Проверьте, кто может серьезно заинтересоваться сломать что и начать там.

  4. Учитывая «минимизацию информации, доступной извне» и «отказ от общеизвестных дефолтов», как не что иное, как безопасность от неясности (часто неправильно понимается как «бесполезная», а не «слой, который сам по себе недостаточен») и опуская это опасное высокомерие. Взломанный замок на двери не уберет вора, но, вероятно, удержит волка.

ответил rackandboneman 23 Mayam12 2012, 05:43:52
1

Раздутая машина с огромным набором безопасности часто превращает посредственные ПК в динозавров и четырехъядерные ядра в обычные старые ПК. Я исправил достаточно (тысяч), чтобы понять, что это в основном верно. Если вы ничего не понимаете, это 100% -ная безопасность, и стоимость производительности снижается экспоненциально как безопасность, а вероятность заражения только падает линейно. Большинство результатов, когда я перестал смотреть на сравнения, были на 90% больше на реальном испытании тысяч тысяч рисков, то есть 10% инфекций были обнаружены или слишком поздно. в то время как латентность ПК увеличилась на 200-900%. OSX имеет идеальную ситуацию, когда это существенно не лучше в безопасности, но риски атаки были меньше из-за меньших целей, и только 4% доли рынка в нетелефонных продуктах в 2010 году. Это изменится, но я не изменю моя философия сохранения моей ОС чистой, худой и amp; имею в виду. Я делаю то же самое для XP и Win7. У меня есть большой арсенал инструментов для ремонта, но нужно только одно приложение, чтобы исправить всех, кто заразился, и он занимает от 10 до 20 минут, а не часов или дней.

Мои методы, которые работают;

  1. Просветите пользователей, не нажимайте предупреждения о безопасности, если вы действительно не знаете, каковы они, а не сотни ROG, которые являются копиями хороших предупреждений. Тот, кто не может быть обучен, легко получает учетные записи без администрирования и браузеры с песочницей с отключенным java и JS. Но если я включу его для них, не беспокойтесь, только 15-20 минут для восстановления или ремонта.

    1. SYstem Restore - это хорошо, но имеет множество ограничений: один из них касается того, что элементы в папке «Документы» и «Папки пользователей» защищены, когда драйверы изгоев могут быть установлены и запущены и заражены вами при следующей загрузке.

    2. UAC полезен для многих вещей, но такой PITA, который я никогда не использую, и не полагаюсь на лучшие инструменты для обнаружения стартапов и /или новых процессов, включая, но не ограничиваясь:

      • Winpatrol.com по-прежнему лучшие инвестиции, которые я сделал для обеспечения безопасности, и по-прежнему бесплатно для других. Он охватывает 80% проблем, когда стартапы добавляются перед выполнением и могут быть обнаружены и отключены или удалены по приглашению пользователя. Однако, если вы озабочены тем, кто не может принимать решения, принимайте таблетки или просто используйте Защитник Windows . Не лучший для покрытия, но один из самых высоких для коэффициента удара /доллара. Пререкация /потеря производительности или увеличение коэффициента латентности.

      • Утилита запуска Майка Лина - самый легкий перехватчик запуска, который хранится в более чем десятке мест реестра.

      • Script Guard - полезный скриптовый перехватчик для скриптов kiddy.

      • ProcessGuard старая неработающая программа, которая работает как брандмауэр для любого нового exectuable, но притупит вас за одобрение, однако она безопасна и тоньше после того, как вы принимаете доверенный источник или игнорируете или блокируете ненадежный источник.

      • Дополнение Blacklist для вашего браузера хорошее, как Сеть доверия (WOT) , но Chrome имеет часть включенного подобным образом, но в меньшей степени.

      • черный список может стать огромным для файлов HOSTS, и если вы его используете (> 1MB является огромным при сканировании в 4KB кусках каждые 10 минут. Но если вы это сделаете, я настоятельно рекомендую отключить службу кэширования DNS , чтобы уменьшить избыточное периодическое сканирование каждым активным приложением, использующим брандмауэры.

      • Отключить индексирование файлов , если вы действительно не используете его для электронной почты и всего, потому что он запускает ваш AV-пакет для сканирования каждого файла, доступного каждый раз, снова и снова .. как избыточно.

Некоторые из них могут исключить этот неполный список с моей головы, но я сэкономлю время, защищая свой компьютер и работая в скудной среде. Регулярные проверки, подтверждающие мою безопасность, проводятся ночью, доказывая, что моя беспристрастная практика оправдана. У меня все еще есть тысячи журналов HJT, журналов combofix.txt и журналов Runscanner, чтобы поддержать мое мнение о лечении и улучшении баланса безопасности /производительности.

  • Избегайтенебрежная загрузка /установка файлов exe или windows media, которые могут выполнять скрипты (например, WMA, .WMV) в отличие от .mp3 или .avi.

  • Избегайте всех объявлений с целевыми большими кнопками для загрузки или обновления вашей безопасности , что может отвлечь ваше внимание на бесплатное обновление на агрегаторах загрузки, таких как hippo dot com .. cnet не так уж плохо. Будь очень осторожен. Некоторые сайты используют сторонние объявления и не имеют контроля над содержимым.

  • Я задокументировал один пример в представлении PowerPoint 10 страниц, , если кто-то заинтересован, спросите. . Как легко игнорировать вышеприведенного adive может заразиться.

Все на данный момент.

Тони Стюарт EE с 1975 года.

ответил Tony EE rocketscientist 23 Mayam12 2012, 09:50:48

Похожие вопросы

Популярные теги

security × 330linux × 316macos × 2827 × 268performance × 244command-line × 241sql-server × 235joomla-3.x × 222java × 189c++ × 186windows × 180cisco × 168bash × 158c# × 142gmail × 139arduino-uno × 139javascript × 134ssh × 133seo × 132mysql × 132