Sıfır gün atakları nasıl önlenir

21

Geleneksel olarak, tüm virüsten koruma programları ve IPS sistemleri imza tabanlı teknikleri kullanarak çalışır. Ancak, bu sıfır günlük atakları önlemenin pek faydası olmaz .

Bu nedenle, sıfır günlük saldırıları önlemek için ne yapılabilir?

firewall  anti-virus  security 
ashmish2
kaynak
1
Sıfır gün yararlanma ile bazı yazılımlar çalıştırsanız bile, aşağıda verilen cevaptaki noktalara ek olarak. Eğer bu sistemi halka açık internet üzerinden çalıştırmazsanız, doğrudan savunmasız değilsiniz demektir. Bu nedenle güvenlik duvarları sizin arkadaşınızdır ve gerçekten yeni bir güvenlik riski yazılımı çalıştırmak istiyorsanız, buluttaki başka bir ağda kurabilir, saldırıya maruz kalabilir ve diğer sistemleri etkilemeyebilir.
Tom H
0 gün süren ve bilinmeyen tehditler, sezgiselliğin, adına değen herhangi bir virüsten koruma / kötü amaçlı yazılımdan koruma yazılımında kullanılmasının tam olarak nedenidir. Maalesef, sezgisel performans çoğu zaman performansın etkisiyle engellenmiştir.
John Gardeniers
0gün sadece bir kategoridir, bu kategorideki her üye diğerinden çok farklıdır. 0 güne karşı güvenliği uygulamayı düşündüğünüz bir yaklaşıma sahip olamazsınız. Güvenlik sisteminizin kalitesi, sonunda başarılı bir gizli izinsiz giriş ile çalışmayan bir istismar veya tespit edilen bir istismar arasında fark yaratacaktır. Birinin dediği gibi, tespit ve hızlı tepki süresine odaklanın. Her sistemi, trafiği izleyin ve güvenlik güncellemelerini takip edin. Tam zamanlı bir iş ya da en azından öyle olmalı.
Aki
Muhtemelen buradan da iyi cevaplar alabilirsiniz - security.stackexchange.com
Bratch
her yerde linux. Penceresiz google'a sor.
Neil McGuigan

Yanıtlar:

37

Bence orada ilginç bir sistem yöneticisi gerçeği kabul ediyorsun, ki bu

Eğer azaltabilir sürece sıfır saldırıya uğrama olasılığı daha sonra sonunda , bir noktada, sen kesmek almak için gidiyoruz .

Bu sadece bir matematiğin ve olasılığın temel gerçeğidir, bir olayın sıfır olmayan olasılığı için. Sonunda olay olur ...

Dolayısıyla, bu "nihayetinde saldırıya uğrayan" olayın etkisini azaltmaya yönelik 2 altın kural ;

  1. En az ayrıcalık ilkesi

    Servisleri, kullanıcı görevlerini yerine getirmek için gerekli en az haklara sahip olacak şekilde yapılandırmalısınız. Bu, bir makineye girdikten sonra bile bir hacker içerebilir.

    Örnek olarak, Apache web sunucusu hizmetinden sıfır gün yararlanma kullanan bir sisteme giren bir bilgisayar korsanının, yalnızca bu işlem tarafından erişilebilen sistem belleği ve dosya kaynakları ile sınırlı olması muhtemeldir. Hacker, html ve php kaynak dosyalarınızı indirebilir ve muhtemelen mysql veritabanınıza bakabilir, ancak köklerine girememeli ya da izinsiz girişlerini apache-erişilebilir dosyaların ötesine genişletmemelidir.

    Birçok varsayılan Apache web sunucusu kurulumu 'apache' kullanıcısını ve grubunu varsayılan olarak oluşturur ve ana Apache yapılandırma dosyasını (httpd.conf) kolayca bu grupları kullanarak apache çalıştırmak için yapılandırabilirsiniz.

  2. Ayrıcalıkların ayrılması ilkesi

    Web siteniz yalnızca veritabanına salt okunur erişime ihtiyaç duyuyorsa, yalnızca salt okunur izinlere ve yalnızca o veritabanına sahip bir hesap oluşturun.

    SElinux güvenlik bağlamı oluşturmak için iyi bir seçimdir, uygulama zırhı başka bir araçtır. Bastille sertleştirme için önceki bir seçimdi.

    Herhangi bir saldırının sonucunu, kendisine verilen hizmetin gücünü kendi "Kutusuna" ayırarak azaltın.

Gümüş Kurallar da iyidir.

Mevcut araçları kullanın. (Güvenlik uzmanı olanların yanı sıra yapabileceğiniz pek de muhtemel değildir, bu yüzden yeteneklerinizi kendinizi korumak için kullanın.)

  1. ortak anahtar şifreleme mükemmel güvenlik sağlar. kullan. her yerde.
  2. kullanıcılar aptal, şifre karmaşıklığını zorla
  3. neden yukarıdaki kurallara istisnalar yaptığınızı anlayın. istisnalarınızı düzenli olarak gözden geçirin.
  4. başarısızlığı hesaba katacak birini tutmak. seni ayak parmaklarında tutar.
Tom H
kaynak
Bunun gerçek olduğunu düşünüyorum - tanım olarak, 0 günlük bir sömürüyü önlemek için yapabileceğiniz pek bir şey yok. Korunmasız bir yazılıma sahipseniz, savunmasız bir yazılıma sahipsiniz - bu nedenle, tek eylem şekli herhangi bir etki ve saldırı yüzeyini azaltmaktır. Güvenlik duvarları hakkında mükemmel bir nokta, örneğin MS Outlook için 0 günlük bir istismarın e-posta ile gönderilebileceğini unutmayın.
Dan
2
Evet, MS mail ürünleri hakkında alınan nokta. Ancak posta için güvenlik duvarlarına benzerlikler vardır, örneğin tüm VBscript, ActiveX, OLE tipi eklentileri devre dışı bırakılmış olan herkes tüm hacklemeyi tamamen kaçırabilir, katliamdan habersizce habersiz ... ;-)
Tom H
1
+1 ama Silver Rule 1'e "" Sorununun kriptografi ile çözülebileceğini düşünen kişi, sorununu anlamıyor ve kriptografiyi anlamıyor. " - Needham / Lampson;)
Peanut
@Peanut Genel anahtarı seviyorum, çünkü şifreleri kullanmaktan kaçınıyor. Teorik izinsiz girişten sonra, şifreleri sıfırlamanıza gerek yoktur, çünkü sıfırlanacak şifreler yoktur ve yalnızca genel anahtar tehlikeye atılır. Doğrulanmış bir şifre veritabanı bile, doğrulamak veya çevrimdışı çatlak hesaplarını doğrulamak için kullanılabilir.
Tom H,
@TomH Benim yorumum yanak dildi :) İlginç, bu yüzden sisteminizde muhtemelen sunucu müşteriye bir nonce + işareti göndermesi için başka bir veri gönderiyor ve müşteri bir kullanıcı adı + oturum açmak için imzalanmış veri kullanıyor?
Fıstık
16

Beyaz liste, kara liste yapma

Kara liste yaklaşımını tarif ediyorsun. Beyaz liste yaklaşımı daha güvenli olur.

Özel bir kulüp liste herkese deneyin asla olamaz gelir; girebilecek ve listede olmayanları hariç tutabilecekleri herkesi listeler.

Benzer şekilde, bir makineye erişmemesi gereken her şeyi listelemeye çalışmak mahkumdur. Kısa bir program listesine / IP adreslerine / kullanıcılara erişimi kısıtlamak daha etkili olacaktır.

Tabii ki, başka herhangi bir şey gibi, bu bazı değiş tokuşları içerir. Spesifik olarak, bir beyaz liste büyük ölçüde sakıncalıdır ve sürekli bakım gerektirir.

Tradeoff'ta daha da ileri gitmek için, makineyi ağdan ayırarak büyük güvenlik elde edebilirsiniz.

Nathan Long
kaynak
+1 Bu Tom H’in cevabına harika bir ektir.
Chad Harrison
1
Tehlike, anlaşılamadığı, korunamadığı, açıklanmadığı ve denetlenemediği boyutta büyüyen bir kuraldadır. Bu ölümcül.
rackandboneman
11

Algılama, Önlemeden Daha Kolay (ve Daha Güvenilir)

Tanım olarak, sıfır günlük bir saldırıyı önleyemezsiniz. Diğerlerinin de belirttiği gibi, sıfır günlük bir saldırının etkisini azaltmak için çok şey yapabilirsiniz, ve yapmalısınız, ama bu hikayenin sonu değil.

Ayrıca, bir saldırının ne zaman gerçekleştiğini, saldırganın ne yaptığını ve saldırganın nasıl yaptığını tespit etmek için kaynakları ayırmanız gerektiğini belirteyim. Bir bilgisayar korsanının yapabileceği tüm faaliyetlerin kapsamlı ve güvenli bir şekilde kaydedilmesi, bir saldırının tespit edilmesini kolaylaştıracak ve daha da önemlisi, yapılan hasarı ve saldırıdan kurtulmak için gereken düzeltmeyi belirleyecektir.

Pek çok finansal hizmet bağlamında, güvenliğin gecikme ve işlemlerin başındaki genel giderler açısından maliyeti o kadar yüksektir ki, sahtekarlık işlemlerini tespit etmek ve tersine çevirmek için kaynakları odaklamak daha mantıklıdır; . Teori, hiçbir önlemin% 100 etkili olmayacağıdır, bu nedenle algılama ve geri alma mekanizmalarının yine de yapılması gerekir. Dahası, bu yaklaşım zaman testine dayanmıştır.

Eski Pro
kaynak
1
+1 Evet, ne olduğunu bilmiyorsanız cevap veremezsiniz ... cevaplamak için başka bir şans verdim, muhtemelen SANS 6 adımı
Tom H
+1, çok doğru. Önleme denetim gerektirir. Denetim, bir sistemin herhangi bir hatası olmadığını kanıtlayamaz.
Aki
@ Tom, cevabınızı her zaman düzenleyebilirsiniz.
Eski Pro
4

Sıfır gün, imzanın bilinmediği anlamına gelmez. Bu, yazılım kullanıcılarına, güvenlik açığını kapatan hiçbir düzeltme eki olmadığı anlamına gelir. Bu yüzden, IPS sıfır günlük güvenlik açıklarından yararlanmaktan korumak için kullanışlıdır. Ama sadece buna güvenmemelisin. Sağlam bir güvenlik politikası oluşturun ve uygulayın, sunucularınızı sertleştirin, yazılımı güncelleyin ve her zaman bir 'B Planı'na sahip olun

DukeLion
kaynak
3

Grsecurity veya SELinux, çekirdeği sertleştirerek 0 günlük saldırıları önlemeye yardımcı oluyor.

Web sitesinden alıntı yapın "Yalnızca grsecurity, sıfır gün ve yöneticilere değerli zaman kazandıran diğer gelişmiş tehditlere karşı koruma sağlarken, güvenlik açığı düzeltmeleri dağıtımlara ve üretim testlerine gitmeye başlar."

h00j
kaynak
2

Apache kullanıyorsanız, mod_security gibi modüller yaygın saldırı vektörlerini önlemenize yardımcı olabilir. Mod_security ile yapabilecekleriniz

  • SQL enjeksiyon saldırıları gibi görünen istekleri engelle
  • bazı RBL’de IP adreslerinin kara listeye alındığı müşterileri engellemek
  • Tanımladığınız bazı koşullar yerine getirilirse, isteği başka bir yere yönlendirin
  • müşteri ülkesine göre istekleri engelle
  • genel kötü amaçlı botları otomatik olarak algıla ve engelle

... ve çok daha fazlası. Elbette, mod_security gibi karmaşık bir modül kullanarak, asıl müşterilerinizi de bloke etmek oldukça mümkündür ve sunucu tarafında mod_security bazı ek yükler ekler.

Sunucu yazılımınızı güncel tutmak ve kullanmayacağınız her bir modül ve arka plan programı devre dışı bıraktığınızdan emin olmak da zorunludur.

Sıkı güvenlik duvarı politikaları bir zorunluluktur ve çoğu durumda SELinux veya grsecurity gibi ek güvenlik geliştirmeleri saldırıyı durdurabilir.

Ama ne yaparsan yap, kötü adamlar çok sabırlı, çok yaratıcı ve çok yetenekli. Saldırıya uğradığınızda ne yapmanız gerektiğini ayrıntılı olarak planlayın.

Janne Pikkarainen
kaynak
1

Birkaç bronz kural eklemek istiyorum:

  1. Maruz kalırsa, çalışması gerekmeyen şeyleri çalıştırmayın.

  2. Kendinizi özel, hedefli bir saldırıya layık bir hedef yapmayın.

  3. Mümkün olan bu tür saldırılara karşı güvence altına almak çoğu zaman ekonomik değildir / pratik değildir. Neyi kırmakla kimin ciddi bir ilgisinin olup olmadığını kontrol edin ve oradan başlayın.

  4. "Dışsal olarak mevcut bilgilerin en aza indirilmesi" ve "iyi bilinen varsayılanlardan uzak durma" (belirsizliğin kendisinde "genellikle yetersiz olan bir katmanın" aksine "anlamsız" olarak yanlış anlaşılmış) ve güvenlik kibirinin ihmal edilmesi olarak kabul edilir. Bir kapıya kilitlenebilir bir kilit hırsızı dışarıda tutmayacak ama muhtemelen kurtları dışarıda tutacaktır.

rackandboneman
kaynak
1

Büyük bir güvenlik paketine sahip şişirilmiş bir makine genellikle vasat PC'leri dinozorlara ve dörtlü Çekirdekleri sıradan eski parçalara dönüştürür. Bunun çoğunlukla doğru olduğunu anlamaya yetecek kadar (binlerce) karar verdim. Hiçbir şeyin% 100 güvenlik olmadığını ve performansın maliyetinin katlanarak azaldığını ve enfeksiyon olasılığının sadece doğrusal bir şekilde düştüğünü anlarsanız. Karşılaştırmalara bakmayı bıraktığımda elde ettiğim sonuçların çoğu, binlerce riskin gerçek dünya testinde maksimum% 90'dı, bu da enfeksiyonların% 10'unun tespit edilmediğini veya çok geç kaldığını gösteriyor. PC gecikmesi ise% 200 ila 900 oranında artmıştı. OSX, güvenlik açısından gerekli olanın daha iyi olmadığı ideal bir duruma sahiptir, ancak 2010 yılında telefon / ped ürünlerinde pazar payının sadece% 4'ü ile daha küçük hedefler olması nedeniyle saldırı riski daha küçüktü. Bu değişecek ama değişmeyeceğim İşletim sistemimi temiz, yalın ve kaba tutma felsefem. Aynı şeyi XP ve Win7 için de yapıyorum. Onarım araçlarının yüksek miktarda cephaneliğine sahibim, ancak virüs bulaşmış herkesi düzeltmek için sadece bir uygulamaya ihtiyacım var ve saat 10 gün değil 10 ila 20 dakika sürüyor.

Çalışan yöntemlerim;

  1. Kullanıcıları eğitin, iyi uyarıların karbon kopyaları olan yüzlerce Rogue'ye karşı olduklarını bilmiyorsanız güvenlik uyarılarını tıklamayın. Kolayca eğitilemeyen, yönetici olmayan hesapları ve java ve JS devre dışı bırakılmış tarayıcıları temizleyin. Ama onlar için etkinleştirirsem, endişelenmeyin, tamir veya onarım için sadece 15 ~ 20 dakika.

    1. SYstem Restore iyidir, ancak Belgeler klasörünüzdeki ve User Temp klasörlerinizdeki öğelerin haydut sürücülerin yüklenebileceği ve başlatılabileceği ve bir sonraki önyüklemede size bulaştırabileceği bir koruma alanı vardır.

    2. UAC, pek çok şey için faydalıdır; ancak, bunlarla sınırlı olmamak üzere, bunlarla sınırlı olmamak üzere, yeni girişimleri ve / veya yeni süreçleri saptamak için asla kullanmayacağımı ve daha iyi araçlara güvenmediğim bir PITA;

      • Winpatrol.com hala güvenlik için yaptığım en iyi yatırım ve hala diğerleri için ücretsiz. Çalıştırmadan önce başlatmaların eklendiği ve kullanıcı istemi tarafından algılanıp devre dışı bırakılabildiği veya silinebildiği sorunların% 80'ini kapsar. Ancak, eğer karar veremeyen endişeli biriyseniz, bir hap almanız veya sadece Windows Defender'ı kullanmanız gerekir . Kapsama için en iyisi değil, patlama / kur oranı için en yüksek değerlerden biri.

      • Mike Lin'in başlangıç ​​programı , kayıt defterinin bir düzineden fazla yerinde depolanan girişimlerin en hafif engelleyicisidir.

      • Script Guard, çocuk senaryoları için yararlı bir script önleyicidir.

      • ProcessGuard , yeni bir ayrılabilir durum için güvenlik duvarı gibi çalışan eski bir feshedilmiş program ancak sizi onay için dürtüyor, ancak güvenilir bir kaynağı kabul ettikten veya güvenilmeyen bir kaynağı görmezden geldikten veya engelledikten sonra güvenli ve yalın.

      • Tarayıcınız için bir Kara Liste eklentisi, Web güven (WOT) gibi iyidir , ancak Chrome, benzer şekilde ancak daha küçük bir ölçüde dahil edilmiştir.

      • Bir kara liste HOSTS dosyaları için büyük alabilirsiniz ve kullanmak eğer 4 KB parçalar halinde her 10 dakikada taranan zaman bu (> 1MB çok büyük. Ama bunu yaparsanız, ben tavsiye DNS önbelleğe alma hizmetini disabing her App Bununla redunant periyodik taramalar azaltmak için güvenlik duvarı yetkileriyle etkindir.

      • Gerçekten e-posta ve benzeri şeyler için kullanmazsanız, Dosya İndekslemeyi Devre Dışı Bırakın, çünkü AV paketinize her seferinde tekrar tekrar erişilen her dosyayı taramak üzere ortaya çıkar.

Bazıları kafamın üstündeki bu kısmi listeye istisna olabilir, ancak bilgisayarımı güvenli bir hale getirerek ve yalın bir ortamda çalışarak zaman kazanıyorum. Geceleri güvenliğimin yapıldığına dair düzenli denetimler yapıldığına dair endişe duyduğum serbest uygulama haklı çıktı. Tedaviler hakkındaki görüşlerimi ve daha iyi güvenlik / performans dengesi için binlerce HJT logum var, combofix.txt logom ve Runscanner logum var.

  • .Mp3 veya .avi'den farklı komut dosyalarını (örn. WMA, .WMV) çalıştırabilecek exe veya windows media dosyalarının dikkatlice indirilmesinden / kurulmasından kaçının.

  • İndirmek için büyük düğmeler hedefleyen tüm reklamları kaçının veya güvenliğinizi güncellemek suaygırı nokta com .. CNET gibi indir toplayıcılar ücretsiz güncelleme için dikkatin kötü değil. Çok dikkatli ol. Bazı siteler 3. taraf reklamları kullanır ve içerik kontrolüne sahip değildir.

  • Bir perect örneğini 10 sayfalık bir powerpoint sunumunda belgeledim, eğer ilgilenen varsa sorun. Yukarıdaki adive görmezden ne kadar kolay görmezden enfekte olabilir.

Şimdilik hepsi.

Tony Stewart EE, 1975'ten beri.

Tony Stewart Sunnyskyguy EE75
kaynak
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.