20 votos

Cómo evitar ataques de día cero

Tradicionalmente, todos los programas anti-virus y las IPS de los sistemas de trabajo mediante la firma de técnicas. Sin embargo, esto no ayuda mucho a prevenir los ataques de día cero.

Por lo tanto, ¿qué se puede hacer para prevenir los ataques de día cero?

36voto

Tom H Puntos 6181

Creo que usted reconoce una interesante sys-admin la verdad, y es que

a menos que usted puede reducir la probabilidad de ser hackeado a cero , a continuación, eventualmente, en algún momento, se va a quedar cortado.

Esto es sólo una verdad básica de las matemáticas y la probabilidad de que cualquier no-cero probabilidad de un evento. El caso de que finalmente sucede...

Así que el 2 reglas de oro para reducir el impacto de esta "finalmente hackeado" evento son estos;

  1. El principio de mínimo privilegio

    Usted debe configurar los servicios para que se ejecute como un usuario con el mínimo posible de los derechos necesarios para completar las tareas. Este puede contener un hacker incluso después de romper en una máquina.

    Como un ejemplo, un hacker que se rompe en un sistema con un zero-day exploit del servidor web Apache servicio es altamente probable que se limita sólo a la memoria del sistema y el archivo de recursos que pueden ser accedidos por ese proceso. El hacker sería capaz de descargar el html y el php archivos de código fuente, y probablemente busque en su base de datos mysql, pero que no debería ser capaz de obtener la root o ampliar su intrusión más allá de apache-los archivos de acceso.

    Muchas defecto de Apache webserver de las instalaciones de crear el 'apache' de usuario y de grupo de forma predeterminada y se puede configurar fácilmente el principal archivo de configuración de Apache (httpd.conf) para ejecutar apache usando esos grupos.

  2. El principio de la separación de privilegios

    Si su sitio web necesita solamente el acceso de sólo lectura a la base de datos, a continuación, crear una cuenta que sólo tiene permisos de sólo lectura y sólo a esa base de datos.

    SElinux es una buena opción para la creación de un contexto para la seguridad, la aplicación de la armadura es otra herramienta. La bastilla era una elección previa para el endurecimiento.

    Reducir la consecuencia de cualquier ataque, separando el poder de el servicio que se ha comprometido en su propia "Caja".

Plata Reglas también son buenas.

Utilizar las herramientas disponibles. (Es muy poco probable que usted puede hacer tan bien como los chicos que son expertos en seguridad, a fin de utilizar sus talentos para protegerse a sí mismo.)

  1. el cifrado de clave pública, proporciona una excelente seguridad. el uso de la misma. en todas partes.
  2. los usuarios son idiotas, hacer cumplir la complejidad de la contraseña
  3. entender por qué usted está haciendo excepciones a las reglas anteriores. revise sus excepciones regularmente.
  4. mantener a alguien a cuenta de su fracaso. se mantiene en los dedos de los pies.

15voto

Nathan Long Puntos 820

La lista blanca, no negra

Estás describiendo una lista negra de enfoque. Una lista blanca enfoque sería mucho más seguro.

Un club exclusivo, nunca tratar a la lista de todos los que no pueden venir; se mostrará la lista de todos los que pueden venir y excluir a los que no estan en la lista.

Del mismo modo, tratando de lista de todo lo que no debería tener acceso a una máquina, está condenada al fracaso. Restringir el acceso a una lista corta de los programas de las direcciones IP de los usuarios sería más eficaz.

Por supuesto, como con cualquier otra cosa, esto implica un poco de trade-offs. Específicamente, una lista blanca es muy incómodo y requiere de constante mantenimiento.

Para ir aún más lejos en el equilibrio, usted puede obtener una gran seguridad al desconectar la máquina de la red.

11voto

Old Pro Puntos 593

La detección es más Fácil (y Más Fiable) De Prevención

Por definición no se puede prevenir un ataque de día cero. Como otros han señalado, usted puede hacer mucho para reducir el impacto de un ataque de día cero, y usted debe, pero que no es el final de la historia.

Permítanme señalar que, además, debe dedicar recursos a detectar cuando un ataque se ha producido, lo que el atacante hizo, y cómo el atacante hizo. Integral y seguridad en el registro de todas las actividades que un hacker podría emprender ambos hacen que sea más fácil detectar un ataque y, lo que es más importante, determinar el daño infligido y la recuperación necesarias para recuperarse del ataque.

En muchos de los servicios financieros contextos, el costo de la seguridad en términos de retrasos y sobrecostos en la ejecución de las transacciones es tan alta que tiene más sentido para concentrar los recursos en la detección y revertir las transacciones fraudulentas en lugar de tomar numerosas medidas diseñadas para evitar que en el primer lugar. La teoría es que ninguna cantidad de medidas será 100% efectiva, por lo que la detección y la reversión de los mecanismos deben ser construidos de todos modos. Por otra parte, este enfoque ha resistido la prueba del tiempo.

4voto

DukeLion Puntos 2341

De día cero no significa que la firma no es conocido. Esto significa que no hay parche disponible para los usuarios de software, que cierra la vulnerabilidad. Así IPS es útil para proteger de la explotación de vulnerabilidades de día cero. Pero usted no debe confiar sólo en él. Crear y seguir una sólida política de seguridad, a endurecer sus servidores, actualización de software, y siempre tiene un 'Plan B'

3voto

h00j Puntos 203

Grsecurity o SELinux son buenas para ayudar a prevenir los ataques de día 0 por el endurecimiento del kernel.

Cita de sitio web "Sólo grsecurity proporciona protección contra ataques de día cero y otras amenazas avanzadas que compra los administradores tiempo valioso mientras que la vulnerabilidad de las correcciones de hacer su camino a la distribución y producción de la prueba. "

EnMiMaquinaFunciona.com

EnMiMaquinaFunciona es una comunidad de administradores de sistemas en la que puedes resolver tus problemas y dudas.
Puedes consultar las preguntas de otros sysadmin, hacer tus propias preguntas o resolver las de los demás.

Powered by: