web-dev-qa-db-fra.com

Quelles sont les meilleures pratiques pour atténuer les attaques zéro jour?

Quelles sont les meilleures pratiques/recommandations/stratégies pour atténuer les menaces/attaques de jour zéro d'une perspective de développement de logiciels?

22
Eric Warriner

La meilleure façon d'atténuer les exploits de zéro jour est de prévenir les écrivains d'exploit zéro jour d'écrire des exploits de jour zéro.

La meilleure façon de prévenir les écrivains d'exploit zéro Jour d'écrire des exploits de jour de zéro est de les encourager à trouver d'autres moyens de gagner de l'argent ou de gagnant une gloire, ce qui nécessiterait de rendre l'exfilation de données moins facile et moins rentable, ainsi que d'identifier le vol et le concept de "piratage" moins amusant.

Afin de rendre les données d'exfiltration et d'identifier le vol moins facile/rentable, nous devons changer de jeu le jeu, c'est-à-dire éliminer les données de la carte de paiement et l'identification émission par le gouvernement telle que les numéros de sécurité sociale. Nous devrons peut-être changer la façon dont nous utilisons des noms et des chiffres, en particulier ensemble.

Afin de rendre le piratage moins amusant, nous devons le rendre ennuyeux et inutile, éventuellement en faisant une activité plus nouvelle plus excitante que le piratage, et faire en quelque sorte le piratage moins excitant que le tissage sous-marin ou la comptabilité sous-marine.

Si les méthodes ci-dessus échouent, il serait peut-être préférable de décourager l'utilisation criminelle des exploits de jour zéro jour par la réhabilitation pénale, l'emprisonnement, les amendes et d'autres formes de punition. Cependant, afin d'exiger une punition, nous devons d'abord attraper des criminels en utilisant des exploits zéro jour. Une certaine utilisation pseudo-criminelle d'exploits zéro jour est "au-dessus de la loi", comme l'espionnage est au niveau de l'État de la nation (par exemple, le personnage de fiction James Bond a une "licence de tuer" et il y a peut-être des pirates informatiques qui ont des licences ". Utilisez des exploits de jour zéro ").

En supposant que cela échoue également, nous devons alors rendre trop cher pour les écrivains de zéro jour pour écrire des exploits de jour zéro. Je crois que c'est la stratégie Microsoft prise en ce qui concerne certains de leurs produits. Cela existe en dehors de la SDL, et il implique généralement des contre-mesures d'exploitation tels que DEP, ASLR, et l'utilisation de techniques trouvée dans des outils tels que [~ # ~] Emet [~ # ~] .

Certains contributeurs Linux ont pris cet itinéraire en inventant ASLR et en mettant en œuvre d'autres concepts dans leurs patchs de noyau grsecurity . Cependant, ni Microsoft ou les développeurs de GRSecurity ne peuvent rechercher des exploits non traditionnels, tels que des applications Web, des exploits de noyau, des conditions de course et d'autres défauts ésotériques ou basés sur la conception.

Technologie-sage, il est beaucoup plus difficile de résoudre le problème de l'exploit zéro jour. C'est pourquoi j'ai principalement fourni une liste de blanchisserie de solutions humaines au problème d'exploitation zéro jour, ce qui, à mon avis, aura plus d'impact. Je ne suis pas un expert en résolution de ces problèmes sociaux humains - si je l'utilisais, j'utiliserais ces pouvoirs magiques pour lutter contre la faim, la maladie ou d'autres problèmes qui sont beaucoup plus profonds que les exploits de jour zéro.

Peut-être qu'il est préférable de laisser zéro jour à exploiter. Vous ne pouvez pas les empêcher d'être libéré. Une chose que vous pouvez faire, c'est sûr d'aider votre organisation à devenir moins cible d'exploits de jour zéro est de courir sur une infrastructure qui n'a jamais été (ou beaucoup rarement) visée par des exploits zéro jour, mais cela peut conduire à une sécurité par obscurité. À titre d'exemple de cette stratégie ayant échoué, AOL a utilisé des équipements tolérants à la faute de Stratus, mais cela ne les empêchait pas d'être piraté.

L'une des méthodes les plus connues à ce jour est de tirer parti de la surveillance de Honeyps, de fichiers/de noyau/d'intégrité de la mémoire/de processus (par exemple, BitLocker avec TPM, TripWire, etc.) et Subterfugan pour fournir des niveaux de défense, puis suivre avec A Swift et une infraction sans pitié, un peu comme la guerre moderne. Encore une fois, cela implique principalement de travailler à la couche humaine sans beaucoup de levage de la technologie lourde. Certaines de ces méthodes peuvent être combinées à l'aide de techniques de renseignement de l'entreprise, et c'est ce que Certains produits SIEM (et l'outil OSSIM Open-Source SIEM) tentent de le faire, mais ceux-ci sont toujours en phase précoce de l'échéance et de la progression. Ils ne doivent donc pas être invoqués par eux-mêmes, mais une partie d'une méthodologie plus grande et une exploitement de jour de comptoir zéro. Programme de gestion.

7
atdre

Si vous parlez d'attaques de jour zéro contre toute application au sein de votre réseau. Je voudrais suggerer:

Utilisation de filtrage d'entrée sur le pare-feu réseau et utilisez également filtrage de sortie afin de limiter le trafic pouvant voyager en sortant de votre système, ce qui signifie que si une machine devait être affectée par un exploit zéro jour, j'espère que cela ne serait pas capable communiquer sortant.

À l'aide d'un IDS/IPS pour détecter des modèles de trafic inhabituels peut également s'avérer efficace.

4
Mark Davidson

Si vous voulez dire vous protéger d'une vulnérabilité connue dans une application qui n'a pas encore de patch officiel, voici quelques façons:

  • Si c'est un logiciel open source, il existe généralement des correctifs non officiels disponibles très rapidement. Sinon, vous pouvez même essayer de la corriger vous-même si vous avez les ressources.

  • Les vulnérabilités de cesse dépendent de configurations/configurations spécifiques. Essayez de voir si vous pouvez configurer une configuration qui ne serait pas vulnérable (c'est-à-dire désactiver une extension).

Rien d'autre que je puisse penser à part les méthodes de sécurité habituelles qui ne sont pas spécifiques à la question.

1
Olivier Lalonde