it-swarm-korea.com

제로 데이 공격 완화를위한 모범 사례는 무엇입니까?

소프트웨어 개발 관점에서 제로 데이 위협/공격을 완화하기위한 모범 사례/권장 사항/전략은 무엇입니까?

22
Eric Warriner

전체적 SDL.

사전에 알지 못하는 특정 공격에 대해서는 방어 할 수 없습니다.
그러나 적절한 위협 모델링을 포함하여 모든 단계를 통해 완전한 보안 개발 수명주기를 구현하고 위협 (공격 아님)을 완화 한 경우 다음과 같아야합니다. 상대적으로 괜찮습니다.

16
AviD

제로 데이 익스플로잇을 완화하는 가장 좋은 방법은 제로 데이 익스플로잇 작성자가 제로 데이 익스플로잇을 작성하지 못하게하는 것입니다.

제로 데이 익스플로잇 작성자가 제로 데이 익스플로잇을 작성하는 것을 방지하는 가장 좋은 방법은 돈을 벌거나 명성을 얻는 다른 방법을 찾도록 장려하는 것입니다. 데이터 유출을 덜 쉽고 덜 수익성있게 만들고 도난과 개념을 식별해야합니다. "해킹"의 재미가 떨어집니다.

데이터 유출을 방지하고 도난을 덜 쉽고 수익성있게 식별하려면 게임을 변경해야합니다 (예 : 지불 카드 데이터 및 사회 보장 번호와 같은 정부 발행 신분증을 제거해야 함). 이름과 숫자를 사용하는 방식, 특히 함께 사용하는 방식을 변경해야 할 수도 있습니다.

해킹을 덜 재미있게 만들려면 해킹보다 더 흥미로운 활동을 더욱 흥미롭게 만들고 해저 바구니 직조 또는 수중 회계보다 해킹을 덜 흥미롭게 만들 수 있습니다.

위의 방법이 실패하면 범죄 재활, 투옥, 벌금 및 기타 형태의 형벌에 의한 제로 데이 악용의 범죄 사용을 자제하는 것이 가장 좋습니다. 그러나 정확한 처벌을 위해서는 먼저 제로 데이 익스플로잇을 사용하여 범죄자를 잡아야합니다. 제로 데이 익스플로잇의 일부 의사 범죄 적 사용은 스파이가 국가-국가 수준에있는 것처럼 "법의 위"입니다 (예 : 가상의 인물 제임스 본드에는 "살인 ​​라이센스"가 있으며 아마도 "라이센스를 제로 데이 익스플로잇 사용 ").

또한 실패한다고 가정하면 제로 데이 작성자가 제로 데이 익스플로잇을 작성하기에는 너무 비싸야합니다. 이것이 Microsoft 제품의 일부와 관련하여 취한 전략이라고 생각합니다. 이는 SDL 외부에 존재하며 일반적으로 DEP, ASLR과 같은 악용 대책과 EMET 와 같은 도구에서 사용되는 기법을 사용합니다.

일부 Linux 기고자는 ASLR을 발명하고 grsecurity 커널 패치에서 다른 개념을 구현하여이 경로를 선택했습니다. 그러나 Microsoft 또는 grsecurity 개발자는 웹 응용 프로그램 기반 공격, 커널 공격, 경쟁 조건 및 기타 난해한 또는 디자인 기반 결함과 같은 비 전통적인 공격을 볼 수 없습니다.

기술적으로는 제로 데이 익스플로잇 문제를 해결하기가 훨씬 어렵습니다. 이것이 바로 제로 데이 익스플로잇 문제에 대한 인간 솔루션의 세탁 목록을 주로 제공 한 이유입니다. 나는 이러한 인간 사회 문제를 해결하는 전문가가 아닙니다. 만약 내가 있다면,이 마법의 힘을 사용하여 기아, 질병 또는 제로 데이 익스플로잇보다 훨씬 더 심오한 다른 문제들과 싸울 것입니다.

아마도 제로 데이 익스플로잇이 발생하도록하는 것이 가장 좋습니다. 당신은 그들이 해제되는 것을 막을 수 없습니다. 조직이 제로 데이 익스플로잇의 목표가되지 않도록 확실히 할 수있는 한 가지 일은 제로 데이 익스플로잇의 대상이 된 적이없는 인프라에서 실행하는 것입니다. 그러나 이것은 모호한 보안으로 이어질 수 있습니다. 이 실패한 전략의 예로 AOL은 Stratus 내결함성 장비를 사용했지만 해킹을 막지는 못했습니다.

현재까지 알려진 가장 좋은 방법 중 하나는 허니팟, 파일/커널/메모리/프로세스 무결성 모니터링 (예 : TPM이 포함 된 BitLocker, Tripwire 등) 및 하위 수준을 활용하여 방어 수준을 제공 한 다음 Swift 그리고 무자비한 범죄, 현대의 전쟁과 매우 흡사합니다.) 다시 말하지만, 이것은 많은 기술을 들지 않고 인간 계층에서 일하는 것과 관련이 있습니다. 일부 SIEM 제품 (및 OSSIM 오픈 소스 SIEM 도구)이 시도하지만, 아직 성숙 단계와 진행 단계에 있기 때문에 자체적으로 의존해서는 안되며, 더 큰 방법론 및 카운터 제로 데이 익스플로잇 관리 프로그램.

7
atdre

Zero Day에 대해 이야기하면 네트워크 내의 모든 응용 프로그램에 대해 공격합니다. 내가 제안 할게:

네트워크 방화벽에서 수신 필터링을 사용하고 방출 필터링 을 사용하여 시스템에서 아웃 바운드로 이동할 수있는 트래픽을 제한하려면 머신이 제로 데이 익스플로잇의 영향을받을 수 있기를 바랍니다. 아웃 바운드 커뮤니케이션.

비정상적인 트래픽 패턴을 탐지하기 위해 IDS/IPS)를 사용하는 것도 효과적 일 수 있습니다.

4
Mark Davidson

Avi 또는 Mark가 언급하지 않은 한 가지 점은 "심층 방어"라는 오래된 만트라입니다. 매우 해킹 된 문구 일 수 있지만 공격자는 여러 계층의 보안을 통해 액세스를 얻기 위해 0 일 이상을 사용해야하며 모든 계층은 (IDS 등을 통해) 공격을 파악하거나 대응할 수있는 더 많은 기회를 제공 할 수 있습니다.

SDL을 확실히 개발하고 IDS, IPS 및 기타 도구를 사용하지만 안전한 아키텍처를 구축하면 보안을 상당히 향상시킬 수 있습니다.

2
Rory Alsop

아직 공식 패치가없는 응용 프로그램의 알려진 취약성으로부터 자신을 보호하려면 다음 몇 가지 방법이 있습니다.

  • 오픈 소스 소프트웨어 인 경우 대개 비공식 매우 빠른 패치를 사용할 수 있습니다. 그렇지 않으면 리소스가있는 경우 직접 패치 할 수도 있습니다.

  • 취약점은 종종 특정 구성/설정에 따라 다릅니다. 취약하지 않은 구성 (예 : 확장 기능 비활성화)을 설정할 수 있는지 확인하십시오.

질문에 국한되지 않은 일반적인 보안 방법과는 별도로 생각할 수있는 것은 없습니다.

1
Olivier Lalonde