Я думаю, вы признаете интересную правду системного администратора, которая заключается в том, что

если вы не можете уменьшить вероятность быть взломанной до нуля затем в конце концов, в какой-то момент, тебя взломают.

Это всего лишь основная истина математики и вероятности для любой ненулевой вероятности события. Событие в конце концов случается ...

Так что 2 золотых правила для уменьшения воздействия этого "в конечном итоге взломанного" события:

1. Принцип наименьших привилегий

   Вы должны настроить службы для запуска от имени пользователя с минимально возможными правами, необходимыми для выполнения задач службы. Это может содержать хакеров даже после того, как они взломают машину.

   Например, хакер, взломавший систему с помощью эксплойта нулевого дня службы веб-сервера Apache, скорее всего, будет ограничен только системной памятью и файловыми ресурсами, к которым этот процесс может получить доступ. Хакер сможет загрузить ваши исходные файлы html и php и, возможно, заглянуть в вашу базу данных mysql, но он не сможет получить root-права или расширить свое вторжение за пределы файлов, доступных для apache.

   Многие установки веб-сервера Apache по умолчанию создают пользователя и группу apache по умолчанию, и вы можете легко настроить основной файл конфигурации Apache (httpd.conf) для запуска apache с использованием этих групп.

2. Принцип разделения привилегий

   Если вашему веб-сайту требуется доступ только для чтения к базе данных, создайте учетную запись, которая имеет только разрешения только для чтения и только для этой базы данных.

   SElinux - хороший выбор для создания контекста безопасности, приложение-броня это еще один инструмент. Бастилия был предыдущий выбор для закалки.

   Уменьшите последствия любой атаки, разделив мощность скомпрометированной службы на ее собственный «ящик».

Серебряные правила тоже хороши.

Используйте доступные инструменты. (Маловероятно, что у вас получится так же хорошо, как у парней, которые являются экспертами по безопасности, поэтому используйте их таланты, чтобы защитить себя.)

1. шифрование с открытым ключом обеспечивает отличную безопасность. используй это. где угодно.
2. пользователи идиоты, усложняйте пароль
3. понять, почему вы делаете исключения из приведенных выше правил. регулярно просматривайте свои исключения.
4. привлекать кого-то к ответственности за неудачи. это держит вас в тонусе.

В белый список, не заносить в черный список

Вы описываете подход с использованием черного списка. Подход с использованием белого списка был бы намного безопаснее.

Эксклюзивный клуб никогда не будет пытаться перечислить всех, кто не могу заходи; они будут перечислять всех, кто жестяная банка войдите и исключите тех, кого нет в списке.

Точно так же пытаясь перечислить все, что не должен доступ к машине обречен. Ограничение доступа к короткому списку программ / IP-адресов / пользователей было бы более эффективным.

Конечно, как и все остальное, здесь есть определенные компромиссы. В частности, белый список очень неудобен и требует постоянного обслуживания.

Чтобы пойти еще дальше в выборе компромисса, вы можете получить большую безопасность, отключив машину от сети.

Обнаружить проще (и надежнее), чем предотвратить

По определению вы не можете предотвратить атаку нулевого дня. Как отмечали другие, вы можете многое сделать, чтобы уменьшить влияние атаки нулевого дня, и вы должны это сделать, но это еще не конец истории.

Позвольте мне указать, что кроме того, вы должны выделить ресурсы на определение того, когда произошла атака, что сделал злоумышленник и как злоумышленник это сделал. Комплексное и безопасное ведение журнала всех действий, которые может предпринять хакер, упростит обнаружение атаки и, что более важно, позволит определить нанесенный ущерб и меры, необходимые для восстановления после атаки.

Во многих контекстах финансовых услуг стоимость безопасности с точки зрения задержек и накладных расходов при выполнении транзакций настолько высока, что имеет больше смысла сосредоточить ресурсы на обнаружении и отмене мошеннических транзакций, чем на принятии обширных мер, направленных на их предотвращение в первую очередь. . Теоретически никакие меры не будут эффективными на 100%, поэтому механизмы обнаружения и отмены должны быть созданы в любом случае. Более того, такой подход выдержал испытание временем.

Нулевой день не означает, что подпись неизвестна. Это означает, что пользователям программного обеспечения не доступен патч, закрывающий уязвимость. Таким образом, IPS полезен для защиты от использования уязвимостей нулевого дня. Но не стоит полагаться только на это. Создавайте и следуйте твердой политике безопасности, укрепляйте свои серверы, обновляйте программное обеспечение и всегда имейте «План Б»

Grsecurity или SELinux хороши в предотвращении атак нулевого дня путем усиления защиты ядра.

Цитата с веб-сайта «Только grsecurity обеспечивает защиту от угроз нулевого дня и других сложных угроз, что позволяет администраторам экономить драгоценное время, пока исправления уязвимостей попадают в дистрибутивы и производственное тестирование».

Если вы используете Apache, такие модули, как mod_security может помочь вам предотвратить распространенные векторы атак. С mod_security вы можете

• блокировать запросы, похожие на атаки с использованием SQL-инъекций
• блокировать клиентов, IP-адреса которых занесены в черный список в некоторых RBL
• перенаправить запрос в другое место, если выполняются определенные вами условия
• блокировать запросы в зависимости от страны клиента
• автоматически обнаруживать и блокировать распространенных вредоносных ботов

... и многое, многое другое. Конечно, используя сложный модуль, такой как mod_security, вполне возможно также заблокировать ваших реальных клиентов, а на стороне сервера mod_security добавляет некоторые накладные расходы.

Также обязательно обновляйте программное обеспечение вашего сервера и убедитесь, что вы отключили каждый модуль и демон, которые вы не будете использовать.

Жесткие политики брандмауэра являются обязательными, и во многих случаях дополнительные улучшения безопасности, такие как SELinux или grsecurity, могут остановить атаку.

Но, что бы вы ни делали, плохие парни очень терпеливы, креативны и очень опытны. Составьте подробный план, что делать, если вас взломают.

Хочу добавить несколько бронзовых правил:

100. Если обнаружено, не запускайте то, что не нужно запускать.

101. Не превращайте себя в цель, достойную целенаправленной целевой атаки.

102. Защита от любой такой возможной целевой атаки часто в любом случае неэкономична / непрактична. Проверьте, кто может серьезно заинтересоваться во взломе, и начните с этого.

103. Считать «минимизацию доступной извне информации» и «уход от хорошо известных значений по умолчанию» не более чем безопасностью за счет неизвестности (часто неправильно понимаемой как «бесполезный» в отличие от «уровня, который сам по себе недостаточен») и игнорировать это - опасное высокомерие. Взломанный замок на двери не защитит вора, но, скорее всего, защитит от него волка.

Раздутый компьютер с огромным набором средств безопасности часто превращает посредственные ПК в динозавров, а четырехъядерные процессоры - в обычные старые ПК. Я установил достаточно (тысячи), чтобы понять, что в основном это правда. Если вы понимаете, что ничто не является 100% -ной безопасностью, и стоимость производительности падает экспоненциально, как и безопасность, в то время как вероятность заражения падает только линейно. Большинство результатов, когда я перестал смотреть на сравнения, составили максимум 90% в реальном тесте с тысячами рисков, то есть 10% заражений были необнаружены или были слишком поздно. в то время как задержка ПК увеличилась с 200 до 900%. OSX имеет идеальную ситуацию, когда существенно не лучше с точки зрения безопасности, но риски атак были меньше из-за того, что они были меньшими целями и имели только 4% доли рынка в продуктах, не связанных с телефоном / планшетами в 2010 году. Это изменится, но я не буду менять моя философия - поддерживать чистоту, компактность и скупость моей ОС. То же самое делаю для XP и Win7. У меня есть большой арсенал инструментов для восстановления, но мне нужно только одно приложение, чтобы вылечить всех, кто заразится, и это займет всего 10-20 минут, а не часы или дни.

Мои методы, которые работают;

1. Обучайте пользователей, не нажимайте на предупреждения системы безопасности, если вы действительно не знаете, что они собой представляют, в отличие от сотен ROgues, которые являются точными копиями хороших предупреждений. Те, кто не может быть обучен, легко получают учетные записи без прав администратора и изолированные браузеры с отключенными java и JS. Но если я включу его для них, не беспокойтесь, всего 15-20 минут на восстановление или ремонт.

   2. SYstem Restore - это хорошо, но имеет много ограничений, одно из которых состоит в том, что элементы в папке Documents и в папках User Temp защищены, из-за чего мошеннические драйверы могут быть установлены и запущены и заразят вас при следующей загрузке.

   3. UAC полезен для многих вещей, но такой PITA я никогда не использую и полагаюсь на лучшие инструменты для обнаружения стартапов и / или новых процессов, включая, но не ограничиваясь:

      • Winpatrol.com по-прежнему лучшее вложение, которое я сделал для безопасности, и все еще бесплатное для других. Он покрывает 80% проблем, когда стартапы добавляются до выполнения и могут быть обнаружены, отключены или удалены по запросу пользователя. Однако, если вы беспокоитесь о том, что не можете принимать решения, примите таблетку или просто используйте Защитник Windows. Не самый лучший для охвата, но один из самых высоких для соотношения взрыва / снижения… предотвращение / потеря производительности или увеличение коэффициента задержки.

      • Утилита запуска Майка Лина это самый легкий перехватчик стартапов, хранящихся в более чем десятке мест реестра.

      • Script Guard - полезный перехватчик скриптов для детских скриптов.

      • ProcessGuard старая несуществующая программа, которая работает как брандмауэр для любого нового исполняемого файла, но требует одобрения, однако она безопасна и удобна после того, как вы примете надежный источник или проигнорируете или заблокируете ненадежный источник.

      • Надстройка Blacklist для вашего браузера хороша как Сеть доверия (WOT) , но Chrome частично включен аналогичным образом, но в меньшей степени.

      • черный список может стать огромным для файлов HOSTS, и если вы его используете (> 1 МБ огромен при сканировании кусками по 4 КБ каждые 10 минут., Но если вы это сделаете, я настоятельно рекомендую отключение службы кеширования DNS для уменьшения избыточных периодических сканирований каждым приложением, которое активно с правами брандмауэра.

      • Отключить индексирование файлов если вы на самом деле не используете его для электронной почты и прочего, потому что он порождает ваш антивирусный пакет для сканирования каждого файла, к которому осуществляется доступ каждый раз, снова и снова ... насколько избыточно.

Некоторые могут не согласиться с этим частичным списком, но я экономлю время, защищая свой компьютер и работая в экономичной среде. Регулярные проверки моей безопасности, проводимые ночью, доказывают, что моя беззаботная практика оправдана. У меня все еще есть тысяча журналов HJT, журналов combofix.txt и журналов Runscanner, которые подтверждают мое мнение о средствах лечения и лучшем балансе безопасности и производительности.

• Избегайте небрежной загрузки / установки мультимедийных файлов exe или Windows, которые могут выполнять сценарии (например, .WMA, .WMV) в отличие от .mp3 или .avi.

• Избегайте размещения всех объявлений с таргетингом на большие кнопки, чтобы загрузить или обновить систему безопасности что может отвлечь ваше внимание на бесплатное обновление агрегаторов загрузок, таких как hippo dot com .. cnet - это неплохо. Будь очень осторожен. Некоторые сайты используют стороннюю рекламу и не контролируют содержание.

• Я задокументировал один прекрасный пример в 10-страничной презентации PowerPoint, если кому интересно, спрашивайте. Как легко можно заразиться, если игнорировать приведенный выше совет.

Все пока.

Тони Стюарт EE с 1975 года.