Protezione malware zero-day [chiusa]

-2

Qual è l'approccio migliore per difendere la tua azienda da malware zero-day?

C'è un firewall / sistema per farlo?

È consigliabile eseguire ogni file in una sandbox e tracciare l'attività della sandbox?

    
posta Lucian Nitescu 22.03.2016 - 08:49
fonte

4 risposte

1

Non puoi difendere efficacemente da una minaccia, che non conosci ancora.

La vulnerabilità di 0 giorni è una minaccia che non conosci ancora.

Vedi HeartBleed per esempio.

Ma questo articolo discute su come minimizzare il rischio contro 0 giorni.

E questa è la parte conclusiva del documento:

Most of the defense techniques available to organizations today are available in off - the - shelf hardware and software applications. The methods used by hardware and software applications are usual ly defined as a hybrid model. In order to best defend against zero - day exploits, an organization needs to understand what defense techniques their defense in depth strategy defends against. The ability for a smaller organization to defend itself versus a l arge organization is often limited by knowledge of the threat by IT staff and senior management, as well as limited financial resources. The amount of information available to users and management is growing daily. Through organizations like SANS, security journals, and media outlets , organizations can benefit by educating decision makers on zero - day explo i t risks and defense approaches so that informed action can be taken to minimize the possible impact in the future .

    
risposta data 22.03.2016 - 09:11
fonte
2

Esistono pochissimi modi efficaci per rilevare il malware 0day. Alcune delle cose che puoi fare per minimizzare il rischio è ridurre il più possibile la superficie di attacco (non eseguire servizi non necessari) e utilizzare motori di scansione con euristica.

Per essere onesti, è improbabile che essi raccolgano qualcosa di molto oltre il malware più semplice e offuscato, ma c'è poco altro che puoi fare.

    
risposta data 22.03.2016 - 09:07
fonte
2

Is there a firewall/system to do that?

Ci sono alcuni che aiuteranno ma nessuno è efficace al 100%.

Is it good to run every file in a sandbox and to track activity of the sandbox?

Questo aiuterà e questo è ciò che fa la maggior parte delle soluzioni APT (advanced persistent threat), ma non aiuterà completamente. Il malware spesso rileva quando è in esecuzione in una sandbox e si comporta in modo diverso.

What is the best approach in defending your company against zero-day malware?

  • Limita ciò che ottieni con la lista bianca invece della lista nera quando possibile (cioè i siti e i tipi di file permessi invece di consentire tutto ciò che non è proibito).
  • Limita la diffusione del malware isolandolo a livello di applicazione (sandbox, ecc.), il livello di rete e gli elenchi di accesso.
  • Supponiamo che tu sia hackerato e cerchi gli indicatori (rilevamento delle violazioni).
  • Allena il tuo staff.
  • Leggi gli attacchi tipici, scopri come funzionavano gli attacchi e scopri come proteggersi da tali attacchi.
  • Spendi un sacco di soldi per l'intelligence interna o lascia che i sistemi li gestiscano da altri.

La sicurezza può essere sicuramente costosa, quindi devi trovare il giusto equilibrio tra ciò che è il patrimonio che desideri proteggere e quanto puoi permetterti con i prodotti di sicurezza e con una produttività ridotta a causa della limitazione degli elenchi di accesso, ecc. t credere alle dichiarazioni di marketing di un singolo venditore.

    
risposta data 22.03.2016 - 09:37
fonte
1

Personalmente vedo che questa domanda è stata troppo ampia per rispondere. Tuttavia, farò alcune ipotesi sul fatto che esegui Windows su x86 / x64 e stai proteggendo gli eseguibili nativi non i linguaggi di byte code come Java, .NET e così via.

Risposta breve: no, non puoi proteggerti da zero-day. Stai proteggendo da un attacco che non è ancora noto.

Risposta lunga: puoi minimizzare la possibilità che si verifichi un exploit zero day e / o l'ambito dell'attacco.

Le cose che puoi fare per prevenire l'attacco:

  1. Se sei lo sviluppatore del software, puoi abilitare ASLR per la tua applicazione.
  2. Puoi abilitare DEP

Le cose che puoi fare per ridurre l'ambito:

  1. Esegui il requisito minimo dell'applicazione come richiesto. Ad esempio, se l'applicazione non ha bisogno di diritti di amministratore, ecc. Eseguila come utente standard.
  2. Regole del firewall per un'applicazione. Ad esempio, se stai eseguendo un sito web. Richiederai solo TCP 80 e TCP 443. Quindi, filtra molta porta come puoi e IP se c'è solo un insieme noto di IP.
  3. AntiVirus configura i diritti di accesso della tua applicazione. Se non è necessario l'accesso in scrittura ai tuoi documenti, assicurati che sia negato.
  4. Sandbox per una maggiore copertura che ha il vantaggio di simulare ciò che è realmente successo piuttosto che l'AV negando le autorizzazioni.

Se condividi di più esattamente ciò che stai cercando, potrò ampliare la mia risposta.

Indirizzo random space layout (ASLR)

Data Execution Prevention (DEP)

    
risposta data 22.03.2016 - 09:40
fonte

Leggi altre domande sui tag