제로 데이 공격을 방지하는 방법 모든 안티 바이러스 프로그램

일반적으로 모든 안티 바이러스 프로그램 및 IPS 시스템은 서명 기반 기술을 사용하여 작동합니다. 그러나 이것은 제로 데이 공격 을 막는 데 큰 도움이되지 않습니다 .

따라서 제로 데이 공격을 방지하기 위해 무엇을 할 수 있습니까?

답변

나는 당신이 흥미로운 sys-admin 진실을 인정한다고 생각합니다.

당신이 감소하지 않는 한 제로로 해킹의 가능성이결국을 , 어떤 시점에서, 당신은 해킹 얻을려고하고있다 .

이것은 수학과 확률의 기본 진리이며, 이벤트가 0이 아닌 확률에 대한 것입니다. 결국에는 …

따라서이 “해킹 된”이벤트의 영향을 줄이는 두 가지 황금 규칙 은 다음과 같습니다.

  1. 최소 특권의 원칙

    서비스 작업을 완료하는 데 필요한 최소한의 권한으로 사용자로 서비스를 실행하도록 구성해야합니다. 해커가 컴퓨터에 침입 한 후에도 해커를 포함 할 수 있습니다.

    예를 들어, Apache 웹 서버 서비스를 제로 데이 악용하여 해커가 시스템에 침입하면 해당 프로세스에서 액세스 할 수있는 시스템 메모리 및 파일 리소스로 제한 될 가능성이 높습니다. 해커는 html 및 php 소스 파일을 다운로드하고 mysql 데이터베이스를 살펴볼 수는 있지만 침입자가 아파치 액세스 파일 이상으로 침입을 확장하거나 확장 할 수는 없습니다.

    많은 기본 Apache 웹 서버 설치는 기본적으로 ‘apache’사용자 및 그룹을 작성하며 해당 그룹을 사용하여 아파치를 실행하도록 기본 Apache 구성 파일 (httpd.conf)을 쉽게 구성 할 수 있습니다.

  2. 권한 분리의 원칙

    웹 사이트에서 데이터베이스에 대한 읽기 전용 액세스 권한 만 필요한 경우 읽기 전용 권한 만 있고 해당 데이터베이스에만 액세스 할 수있는 계정을 만드십시오.

    SElinux는 보안 컨텍스트를 생성하기에 좋은 선택이며 app-armor 는 또 다른 도구입니다. 바스티유 는 경화를위한 이전의 선택이었습니다.

    손상된 “서비스”의 기능을 자체 “박스”로 분리하여 공격의 결과를 줄입니다.

실버 규칙도 좋습니다.

사용 가능한 도구를 사용하십시오. (보안 전문가 인 사람과 마찬가지로 할 수있을 가능성이 적으므로 자신의 재능을 사용하여 자신을 보호하십시오.)

  1. 공개 키 암호화는 뛰어난 보안을 제공합니다. 사용해. 어디에나.
  2. 사용자는 바보이며 암호 복잡성을 강화합니다
  3. 위의 규칙에 예외를 두는 이유를 이해하십시오. 예외 사항을 정기적으로 검토하십시오.
  4. 실패를 설명 할 사람을 잡아라. 그것은 당신의 발가락에 당신을 유지합니다.

답변

허용 목록, 차단 목록에 포함시키지 마십시오

블랙리스트 접근법을 설명하고 있습니다. 화이트리스트 접근 방식이 훨씬 안전합니다.

독점 클럽은 들어올 수없는 모든 사람을 열거하려고 시도 하지 않습니다 . 그들은 들어올 수있는 모든 사람들을 나열하고 목록에없는 사람들을 제외시킬 것입니다.

마찬가지로 컴퓨터에 액세스 해서는 안되는 모든 것을 나열하려고 시도하는 것이 끝났습니다. 짧은 프로그램 / IP 주소 / 사용자 목록에 대한 액세스를 제한하는 것이 더 효과적입니다.

물론, 다른 것들과 마찬가지로 이것은 약간의 절충이 필요합니다. 특히, 화이트리스트는 매우 불편하고 지속적인 유지 보수가 필요합니다.

트레이드 오프를 더욱 발전시키기 위해 네트워크에서 머신을 분리하여 보안을 강화할 수 있습니다.

답변

탐지가 예방보다 쉽고 안정적입니다.

정의상 제로 데이 공격을 막을 수는 없습니다. 다른 사람들이 지적했듯이, 제로 데이 공격의 영향을 줄이기 위해 많은 일을 할 수는 있지만 이야기의 끝은 아닙니다.

또한 공격이 발생한시기, 공격자가 수행 한 작업 및 공격자가 수행 한 작업을 탐지하는 데 리소스를 사용해야합니다. 해커가 수행 할 수있는 모든 활동에 대한 포괄적이고 안전한 로깅은 공격을보다 쉽게 ​​탐지 할 수있게하며, 더 중요한 것은 공격으로부터 복구하는 데 필요한 피해와 치료를 결정하는 것입니다.

많은 금융 서비스 환경에서 트랜잭션 실행시 지연 및 오버 헤드 측면에서 보안 비용이 너무 높아서 사기성 트랜잭션을 감지하고 역전하는 데 자원을 집중시키는 것이 처음에는이를 방지하도록 설계된 광범위한 조치를 취하는 것이 더 합리적입니다. . 이론은 100 %의 효과가 100 % 효과적이지 않기 때문에 탐지 및 반전 메커니즘을 구축해야한다는 것입니다. 더욱이,이 접근법은 시간의 시험을 견뎌냈습니다.

답변

제로 데이는 서명을 알 수 없다는 의미는 아닙니다. 이는 소프트웨어 사용자가 사용할 수있는 패치가 없기 때문에 취약점을 닫습니다. 따라서 IPS는 제로 데이 취약점을 악용하는 것을 방지하는 데 유용합니다. 그러나 당신은 그것에 의존해서는 안됩니다. 견고한 보안 정책을 만들고 따르고 서버를 강화하고 소프트웨어를 업데이트하며 항상 ‘계획 B’

답변

Grsecurity 또는 SELinux는 커널을 강화하여 0 일 공격을 방지하는 데 도움이됩니다.

웹 사이트의 인용 “그런 보안 만 제공하면 제로 데이 및 기타 고급 위협에 대한 보호 기능을 제공하여 관리자에게 귀중한 시간을 산다.

답변

Apache를 사용하는 경우 mod_security 와 같은 모듈을 사용 하면 일반적인 공격 경로를 방지 할 수 있습니다. mod_security를 ​​사용하면

  • SQL 주입 공격과 같은 요청 차단
  • 일부 RBL에서 IP 주소가 블랙리스트에있는 클라이언트 차단
  • 정의한 일부 조건이 충족되면 요청을 다른 장소로 리디렉션
  • 고객 국가를 기반으로 요청 차단
  • 일반적인 악성 봇 자동 탐지 및 차단

… 그리고 훨씬 더. 물론, mod_security와 같은 복잡한 모듈을 사용하면 실제 클라이언트도 차단할 수 있으며 서버 측에서는 mod_security에 약간의 오버 헤드가 추가됩니다.

또한 서버 소프트웨어를 업데이트 된 상태로 유지하고 사용하지 않을 모든 모듈 및 데몬을 비활성화했는지 확인해야합니다.

강력한 방화벽 정책은 필수이며 대부분의 경우 SELinux 또는 grsecurity와 같은 추가 보안 기능 향상으로 공격이 중지 될 수 있습니다.

그러나 당신이 무엇을하든 나쁜 사람들은 참을성 있고 창의력이 뛰어나고 숙련됩니다. 해킹 당했을 때해야 할 일에 대한 자세한 계획을 세우십시오.

답변

몇 가지 청동 규칙을 추가하고 싶습니다.

  1. 노출 된 경우 실행할 필요가없는 것을 실행하지 마십시오.

  2. 전용의 표적 공격에 적합한 대상이되지 마십시오.

  3. 이러한 표적 공격에 대비하는 것은 어쨌든 비 경제적 / 실용적이지 않은 경우가 많습니다. 무엇을 깨뜨리는 데 관심을 가질 수 있는지 누가 확인하고 시작하십시오.

  4. “외부 적으로 사용 가능한 정보를 최소화”하고 “잘 알려진 기본값을 벗어나는”것을 모호한 보안 (보통 “불충분 한 계층”이 아닌 “무가치 한”으로 오해 됨)으로 간주하는 것만으로도 오만은 무시할 수 있습니다. 문에 해킹 가능한 자물쇠는 도둑을 막지 않지만 늑대를 막을 것입니다.