เดิมโปรแกรมป้องกันไวรัสและระบบIPS ทั้งหมดทำงานโดยใช้เทคนิคที่ใช้ลายเซ็น แต่นี้ไม่ได้ช่วยมากเพื่อป้องกันการโจมตี zero-day

ดังนั้นสิ่งที่สามารถทำได้เพื่อป้องกันการโจมตี zero-day?

ฉันคิดว่าคุณยอมรับความจริงของ sys-admin ที่น่าสนใจซึ่งก็คือ

จนกว่าคุณจะสามารถลดความน่าจะเป็นของถูก hacked เป็นศูนย์แล้วในที่สุดก็ในบางจุดที่คุณจะได้รับการถูกแฮก

นี่เป็นเพียงความจริงพื้นฐานของคณิตศาสตร์และความน่าจะเป็นซึ่งสำหรับความน่าจะเป็นที่ไม่เป็นศูนย์ของเหตุการณ์ ในที่สุดเหตุการณ์ก็เกิดขึ้น ...

ดังนั้นกฎทองทั้งสองข้อสำหรับการลดผลกระทบของเหตุการณ์ "แฮ็กที่สุด" นี้จึงเป็นกฎเหล่านี้

1. หลักการของสิทธิพิเศษอย่างน้อยที่สุด

   คุณควรกำหนดค่าบริการให้ทำงานในฐานะผู้ใช้ที่มีสิทธิ์น้อยที่สุดเท่าที่จำเป็นเพื่อให้งานของบริการสำเร็จ สิ่งนี้สามารถมีแฮ็กเกอร์แม้หลังจากที่พวกเขาบุกเข้าไปในเครื่อง

   ตัวอย่างเช่นแฮ็กเกอร์ที่เจาะเข้าไปในระบบโดยใช้การใช้ประโยชน์จากบริการเว็บเซิร์ฟเวอร์ Apache เป็นระยะเวลาหนึ่งวันมีแนวโน้มสูงที่จะถูก จำกัด เพียงหน่วยความจำระบบและทรัพยากรไฟล์ที่สามารถเข้าถึงได้โดยกระบวนการนั้น แฮกเกอร์จะสามารถดาวน์โหลดไฟล์ html และ php ของคุณและอาจดูในฐานข้อมูล mysql ของคุณ แต่พวกเขาไม่ควรรูทหรือขยายการบุกรุกของไฟล์ที่เข้าถึง apache ได้

   การติดตั้งเว็บเซิร์ฟเวอร์ Apache เริ่มต้นจำนวนมากจะสร้างผู้ใช้และกลุ่ม 'apache' เป็นค่าเริ่มต้นและคุณสามารถกำหนดค่าไฟล์การกำหนดค่า Apache หลัก (httpd.conf) ได้อย่างง่ายดายเพื่อเรียกใช้ apache โดยใช้กลุ่มเหล่านั้น

2. หลักการของการแยกสิทธิพิเศษ

   หากเว็บไซต์ของคุณต้องการเข้าถึงฐานข้อมูลแบบอ่านอย่างเดียวให้สร้างบัญชีที่มีสิทธิ์แบบอ่านอย่างเดียวและไปยังฐานข้อมูลนั้นเท่านั้น

   SElinux เป็นตัวเลือกที่ดีสำหรับการสร้างบริบทเพื่อความปลอดภัยแอพชุดเกราะเป็นอีกเครื่องมือหนึ่ง Bastilleเป็นตัวเลือกก่อนหน้าสำหรับการชุบแข็ง

   ลดผลที่ตามมาจากการโจมตีโดยแยกพลังของบริการที่ถูกบุกรุกเข้าไปใน "กล่อง" ของตัวเอง

กฎเงินก็ดีเช่นกัน

ใช้เครื่องมือที่มีอยู่ (เป็นไปได้ยากมากที่คุณสามารถทำได้เช่นเดียวกับคนที่เป็นผู้เชี่ยวชาญด้านความปลอดภัยดังนั้นใช้ความสามารถของพวกเขาเพื่อปกป้องตัวเอง)

1. การเข้ารหัสคีย์สาธารณะให้ความปลอดภัยที่ยอดเยี่ยม ใช้มัน. ทุกที่.
2. ผู้ใช้เป็นคนงี่เง่าบังคับใช้ความซับซ้อนของรหัสผ่าน
3. เข้าใจว่าทำไมคุณถึงทำข้อยกเว้นกฎข้างต้น ตรวจสอบข้อยกเว้นของคุณเป็นประจำ
4. ถือบางคนเพื่อบัญชีสำหรับความล้มเหลว มันช่วยให้คุณอยู่บนนิ้วเท้าของคุณ

รายการที่อนุญาตห้ามขึ้นบัญชีดำ

คุณกำลังอธิบายถึงวิธีการบัญชีดำ วิธีการที่อนุญาตจะปลอดภัยกว่ามาก

สโมสรพิเศษจะไม่พยายามแสดงทุกคนที่ไม่สามารถเข้ามาได้ พวกเขาจะแสดงรายการทุกคนที่สามารถเข้ามาและยกเว้นผู้ที่ไม่อยู่ในรายการ

ในทำนองเดียวกันความพยายามที่จะแสดงรายการทุกอย่างที่ไม่ควรใช้กับเครื่องนั้นถึงวาระแล้ว การ จำกัด การเข้าถึงรายการสั้น ๆ ของโปรแกรม / ที่อยู่ IP / ผู้ใช้จะมีประสิทธิภาพมากขึ้น

แน่นอนเช่นเดียวกับสิ่งอื่นใดสิ่งนี้เกี่ยวข้องกับการแลกเปลี่ยนบางอย่าง รายการที่อนุญาตพิเศษนั้นไม่สะดวกอย่างมากและต้องการการบำรุงรักษาอย่างต่อเนื่อง

หากต้องการไปให้ไกลกว่านั้นในการแลกเปลี่ยนคุณจะได้รับความปลอดภัยที่ยอดเยี่ยมโดยการตัดการเชื่อมต่อเครื่องจากเครือข่าย

การตรวจจับนั้นง่ายกว่า (และเชื่อถือได้มากกว่า) กว่าการป้องกัน

ตามคำจำกัดความคุณไม่สามารถป้องกันการโจมตีศูนย์ได้ อย่างที่คนอื่น ๆ ชี้คุณสามารถทำหลายอย่างเพื่อลดผลกระทบจากการโจมตีแบบ zero day และคุณควรทำ แต่นั่นไม่ได้จบเรื่อง

ให้ฉันชี้ให้เห็นว่านอกจากนี้คุณควรอุทิศทรัพยากรเพื่อตรวจจับเมื่อเกิดการโจมตีสิ่งที่ผู้โจมตีทำและวิธีที่ผู้โจมตีทำ การบันทึกกิจกรรมที่ครบวงจรและปลอดภัยที่แฮ็กเกอร์อาจทำจะช่วยให้ตรวจจับการโจมตีได้ง่ายขึ้นและที่สำคัญกว่านั้นคือพิจารณาความเสียหายที่เกิดขึ้นและการแก้ไขที่จำเป็นสำหรับการกู้คืนจากการโจมตี

ในบริบทของบริการทางการเงินหลาย ๆ แห่งค่าใช้จ่ายด้านความปลอดภัยในแง่ของความล่าช้าและค่าใช้จ่ายในการทำธุรกรรมนั้นสูงมากจนเหมาะสมที่จะมุ่งเน้นไปที่แหล่งข้อมูลในการตรวจจับและย้อนกลับธุรกรรมที่ฉ้อโกง . ทฤษฎีคือไม่มีมาตรการใดที่จะมีประสิทธิภาพ 100% ดังนั้นจึงจำเป็นต้องสร้างกลไกการตรวจจับและการพลิกกลับ นอกจากนี้วิธีการนี้ยังคงมีการทดสอบเวลา

วันที่เป็นศูนย์ไม่ได้หมายความว่าลายเซ็นนั้นไม่เป็นที่รู้จัก หมายความว่าไม่มีการแก้ไขให้ผู้ใช้ซอฟต์แวร์ใช้เพื่อปิดช่องโหว่ ดังนั้น IPS จึงมีประโยชน์ในการป้องกันการโจมตีช่องโหว่ที่ไม่มีวันสิ้นสุด แต่คุณไม่ควรพึ่งมันเท่านั้น สร้างและปฏิบัติตามนโยบายความปลอดภัยที่มั่นคง, ทำให้เซิร์ฟเวอร์ของคุณแข็ง, อัปเดตซอฟต์แวร์, และมี 'แผน B' เสมอ

Grsecurity หรือ SELinux นั้นดีในการช่วยป้องกันการโจมตี 0 วันโดยการทำให้เคอร์เนลแข็งแกร่งขึ้น

อ้างจากเว็บไซต์ "grsecurity เท่านั้นให้การป้องกัน zero-day และภัยคุกคามขั้นสูงอื่น ๆ ที่ซื้อเวลาอันมีค่าของผู้ดูแลระบบในขณะที่การแก้ไขช่องโหว่ทำให้ทางออกของพวกเขาเพื่อการกระจายและการทดสอบการผลิต"

หากคุณใช้ Apache โมดูลเช่นmod_securityสามารถช่วยคุณป้องกันไม่ให้เวกเตอร์การโจมตีทั่วไป ด้วย mod_security คุณสามารถ

• คำร้องขอบล็อกที่ดูเหมือนการโจมตีการฉีด SQL
• ปิดกั้นไคลเอ็นต์ที่มีที่อยู่ IP ถูกขึ้นบัญชีดำใน RBL บางรายการ
• เปลี่ยนเส้นทางการร้องขอไปยังสถานที่อื่นถ้าเงื่อนไขบางอย่างที่คุณกำหนดเป็นไปตาม
• บล็อกคำขอจากประเทศลูกค้า
• ตรวจจับและบล็อกบอททั่วไปที่เป็นอันตรายโดยอัตโนมัติ

... และอีกมากมาย แน่นอนว่าการใช้โมดูลที่ซับซ้อนเช่น mod_security เป็นไปได้ค่อนข้างที่จะบล็อกลูกค้าที่แท้จริงของคุณและใน mod_security ฝั่งเซิร์ฟเวอร์จะเพิ่มค่าใช้จ่าย

นอกจากนี้ยังจำเป็นต้องมีการอัปเดตซอฟต์แวร์เซิร์ฟเวอร์ของคุณและเพื่อให้แน่ใจว่าคุณได้ปิดการใช้งานแต่ละโมดูล & daemon ที่คุณจะไม่ใช้

นโยบายไฟร์วอลล์ที่เข้มงวดเป็นสิ่งที่จำเป็นและในหลาย ๆ กรณีการปรับปรุงความปลอดภัยเพิ่มเติมเช่น SELinux หรือความปลอดภัยระดับสูงอาจหยุดการโจมตีได้

แต่ไม่ว่าคุณจะทำอะไรคนเลวมีความอดทนสร้างสรรค์และมีฝีมือมาก มีแผนอย่างละเอียดว่าจะทำอย่างไรเมื่อคุณถูกแฮ็ก

ฉันต้องการเพิ่มกฎทองแดงเล็กน้อย:

100. หากสัมผัสอย่าวิ่งในสิ่งที่ไม่จำเป็นต้องวิ่ง

101. อย่าทำให้ตัวเองเป็นเป้าหมายของการจู่โจมโดยเฉพาะ

102. การรักษาความปลอดภัยจากการโจมตีเป้าหมายใด ๆ ที่เป็นไปได้มักจะไม่ประหยัด / ทำไม่ได้อยู่ดี ตรวจสอบผู้ที่อาจมีความสนใจอย่างจริงจังในการทำลายอะไรและเริ่มต้นที่นั่น

103. พิจารณา "การลดข้อมูลที่มีอยู่ภายนอก" และ "ออกไปจากค่าเริ่มต้นที่รู้จักกันดี" เป็นอะไรที่มากกว่าความปลอดภัยโดยความสับสน (มักเข้าใจผิดว่า "ไร้ค่า" เมื่อเทียบกับ "ชั้นที่อยู่ในตัวเองไม่เพียงพอ") ล็อคที่แฮ็คได้ที่ประตูจะไม่ทำให้โจรออกไป แต่อาจจะป้องกันหมาป่า

เครื่องป่องที่มีชุดรักษาความปลอดภัยขนาดใหญ่มักจะทำให้พีซีธรรมดากลายเป็นไดโนเสาร์และสี่แกนเป็นชิ้นเก่าธรรมดา ฉันได้แก้ไขพอที่จะเข้าใจว่าส่วนใหญ่เป็นเรื่องจริง หากคุณเข้าใจว่าไม่มีความปลอดภัยใด ๆ 100% และค่าใช้จ่ายในการปฏิบัติงานลดลงอย่างรวดเร็วเช่นความปลอดภัยในขณะที่ความน่าจะเป็นของการติดเชื้อจะลดลงแบบเส้นตรงเท่านั้น ผลลัพธ์ส่วนใหญ่เมื่อฉันหยุดดูการเปรียบเทียบคือ 90% สูงสุดในการทดสอบในโลกแห่งความจริงนับพันของความเสี่ยงหมายถึง 10% ของการติดเชื้อไม่ถูกตรวจพบหรือสายเกินไป ในขณะที่พีซีแฝงเพิ่มขึ้น 200 ถึง 900% OSX มีสถานการณ์ในอุดมคติที่ไม่จำเป็นในด้านความปลอดภัย แต่ความเสี่ยงของการโจมตีนั้นน้อยลงเนื่องจากเป็นเป้าหมายที่เล็กกว่าโดยมีส่วนแบ่งการตลาดเพียง 4% ในผลิตภัณฑ์ที่ไม่ใช่โทรศัพท์ / แผ่นรองในปี 2010 ซึ่งจะเปลี่ยนไป แต่ฉันจะไม่เปลี่ยนแปลง ปรัชญาของฉันในการรักษาความสะอาดระบบปฏิบัติการแบบลีนและค่าเฉลี่ย ฉันทำเช่นเดียวกันสำหรับ XP และ Win7 ฉันมีคลังแสงเครื่องมือซ่อม แต่ต้องการเพียงหนึ่งแอพเพื่อแก้ไขทุกคนที่ติดเชื้อและใช้เวลาเพียง 10 ถึง 20 นาทีไม่ใช่ชั่วโมงหรือวัน

วิธีการของฉันที่ใช้งานได้;

1. ให้ความรู้แก่ผู้ใช้อย่าคลิกที่คำเตือนความปลอดภัยเว้นแต่คุณจะรู้ว่าสิ่งที่พวกเขาตรงข้ามกับร้อยของ ROgues ที่เป็นสำเนาของการแจ้งเตือนที่ดี ผู้ที่ไม่สามารถผ่านการฝึกอบรมจะได้รับบัญชีที่ไม่ใช่ผู้ดูแลระบบและเบราว์เซอร์แบบกล่องทรายโดยปิดการใช้งานจาวาและ JS แต่ถ้าฉันเปิดใช้งานสำหรับพวกเขาไม่ต้องกังวลเพียง 15 ~ 20 นาทีในการกู้คืนหรือซ่อมแซม

   2. SYstem Restore นั้นดี แต่มีข้อ จำกัด มากมายหนึ่งในนั้นคือรายการในโฟลเดอร์เอกสารของคุณและโฟลเดอร์ Temp ของผู้ใช้จะได้รับการปกป้องโดยที่ไดรเวอร์อันธพาลสามารถติดตั้งและเริ่มต้นและติดเชื้อในการบูตครั้งถัดไป

   3. UAC นั้นมีประโยชน์สำหรับหลาย ๆ อย่าง แต่ PITA ที่ฉันไม่เคยใช้และพึ่งพาเครื่องมือที่ดีกว่าในการตรวจจับการเริ่มต้นและ / หรือกระบวนการใหม่รวมถึง แต่ไม่ จำกัด เพียง;

      • Winpatrol.com ยังเป็นการลงทุนที่ดีที่สุดที่ฉันทำเพื่อความปลอดภัยและยังฟรีสำหรับผู้อื่น ครอบคลุม 80% ของปัญหาที่มีการเพิ่ม startups ก่อนดำเนินการและสามารถตรวจพบและปิดใช้งานหรือลบโดยผู้ใช้ แต่ถ้าคุณจะเรียงลำดับความกังวลที่ไม่สามารถทำให้การตัดสินใจใช้ยาหรือเพียงแค่ใช้Windows Defender ไม่ดีที่สุดสำหรับการครอบคลุม แต่หนึ่งในอัตราส่วนสูงสุดต่อบาง / เจ้าชู้ .. การเยาะเย้ย / การสูญเสียของ performace หรือการเพิ่มขึ้นของอัตราส่วนแฝง

      • ยูทิลิตี้เริ่มต้นของ Mike Linเป็นตัวสกัดกั้นที่เบาที่สุดของ startups ที่เก็บอยู่ในตำแหน่งมากกว่าหนึ่งโหลของรีจิสตรี

      • Script Guard เป็นตัวดักจับสคริปต์ที่มีประโยชน์สำหรับสคริปต์ตัวเล็ก

      • ProcessGuardโปรแกรมเก่าที่หมดอายุซึ่งทำงานเหมือนไฟร์วอลล์สำหรับ exectuable ใหม่ใด ๆ แต่ทำให้คุณไม่สนใจการอนุมัติอย่างไรก็ตามมันปลอดภัยและพึ่งพาได้หลังจากที่คุณยอมรับแหล่งที่เชื่อถือได้หรือเพิกเฉยหรือบล็อกแหล่งที่ไม่น่าเชื่อถือ

      • Add-on ของ Blacklist สำหรับเบราว์เซอร์ของคุณนั้นดีเหมือนWeb of trust (WOT)แต่ Chrome มีบางส่วนที่รวมอยู่ในรูปแบบที่คล้ายกัน แต่มีขนาดเล็กกว่า

      • บัญชีดำอาจมีขนาดใหญ่สำหรับไฟล์ HOSTS และถ้าคุณใช้สิ่งนี้ (> 1MB นั้นมากเมื่อสแกนใน 4KB chunks ทุก ๆ 10 นาที, แต่ถ้าคุณทำฉันขอแนะนำให้ปิดบริการแคช DNSเพื่อลดการสแกนซ้ำตามช่วงเวลา ใช้งานได้กับไฟร์วอลล์ส่วนบุคคล

      • ปิดใช้งานการจัดทำดัชนีไฟล์ หากคุณไม่ได้ใช้มันจริงๆสำหรับอีเมลและสิ่งต่าง ๆ เพราะมันจะสร้างชุด AV ของคุณเพื่อสแกนไฟล์ทุกไฟล์ที่เข้าถึงทุกครั้งซ้ำแล้วซ้ำอีก ..

บางคนอาจยกเว้นรายการบางส่วนนี้อยู่ด้านบนของหัวของฉัน แต่ฉันประหยัดเวลาในการรักษาความปลอดภัยให้พีซีของฉันและปฏิบัติการในสภาพแวดล้อมที่ไม่ติดมัน การตรวจสอบเป็นประจำเพื่อยืนยันความปลอดภัยของฉันเสร็จในเวลากลางคืนพิสูจน์ว่าการปฏิบัติที่ปราศจากความกังวลของฉันนั้นเป็นสิ่งที่ถูกต้อง ฉันยังมีบันทึก HJT หนึ่งพันบันทึก combofix.txt และบันทึก Runscanner เพื่อสนับสนุนความคิดเห็นของฉันเกี่ยวกับการรักษาและความปลอดภัย / ประสิทธิภาพที่ดีขึ้น

• หลีกเลี่ยงการดาวน์โหลด / ติดตั้งไฟล์สื่อของ windows หรือ exe ที่ไม่ประมาทซึ่งสามารถเรียกใช้งานสลิป (เช่น. WMA, .WMV) ซึ่งแตกต่างจาก. mp3 หรือ. avi

• หลีกเลี่ยงโฆษณาทั้งหมดที่กำหนดเป้าหมายปุ่มใหญ่เพื่อดาวน์โหลดหรืออัปเดตความปลอดภัยของคุณซึ่งอาจเบี่ยงเบนความสนใจของคุณต่อการอัปเดตฟรีสำหรับตัวรวบรวมดาวน์โหลดเช่น hippo dot com .. cnet ไม่เลว ระวังให้มาก บางเว็บไซต์ใช้โฆษณาของบุคคลที่สามและไม่มีการควบคุมเนื้อหา

• ฉันบันทึกหนึ่งตัวอย่างแบบ perect ในงานนำเสนอ PowerPoint 10 หน้าหากใครสนใจถาม การเพิกเฉยต่อโฆษณาที่กล่าวมาข้างต้นนั้นง่ายแค่ไหน

ทั้งหมดนี้

Tony Stewart EE ตั้งแต่ปี 1975