Protección contra malware de día cero [cerrado]

No puedes defenderte de una amenaza de manera efectiva, lo que aún no sabes.

La vulnerabilidad de 0 días es una amenaza que aún no conoces.

Vea HeartBleed por ejemplo.

Pero este documento discute cómo minimizar el riesgo contra 0 días.

Y esta es la conclusión del documento:

  

La mayoría de las técnicas de defensa disponibles para las organizaciones hoy en día son   disponible en off   - la   - aplicaciones de hardware y software de estantería. Los métodos utilizados por las aplicaciones de hardware y software se definen generalmente como un híbrido   modelo. Para defender mejor contra cero.   - En las hazañas diarias, una organización necesita entender contra qué técnicas de defensa defiende su estrategia de defensa en profundidad. los   Capacidad para que una organización más pequeña se defienda contra un gran tamaño.   La organización a menudo está limitada por el conocimiento de la amenaza por parte del personal de TI   y alta gerencia, así como recursos financieros limitados. los   La cantidad de información disponible para los usuarios y la administración está creciendo.   diario. A través de organizaciones como SANS, revistas de seguridad y medios de comunicación.   En general, las organizaciones pueden beneficiarse educando a los tomadores de decisiones sobre   cero   - los riesgos del día y los enfoques de defensa para que se puedan tomar medidas informadas para minimizar el posible impacto en el futuro.

Hay muy pocas formas efectivas de detectar malware de 0 días. Algunas de las cosas que puede hacer para minimizar el riesgo es reducir la superficie de ataque tanto como sea posible (no ejecutar servicios innecesarios) y usar motores de escaneo con heurísticas.

Para ser honesto, es poco probable que detecten algo más allá del malware ofuscado / fresco más básico, pero no hay mucho más que puedas hacer.

  

¿Hay un firewall / sistema para hacer eso?

Hay algunos que ayudarán, pero ninguno es 100% efectivo.

  

¿Es bueno ejecutar cada archivo en una caja de arena y hacer un seguimiento de la actividad de la caja de arena?

Esto ayudará y esto es lo que hacen la mayoría de las soluciones APT (amenaza persistente avanzada), pero no ayudará completamente. El malware a menudo detecta cuando se ejecuta dentro de un recinto de seguridad y se comporta de manera diferente.

  

¿Cuál es el mejor enfoque para defender su empresa contra el malware de día cero?

• Limite lo que obtiene por listas blancas en lugar de listas negras siempre que sea posible (es decir, sitios y tipos de archivos permitidos en lugar de permitir todo lo que no esté prohibido).
• Limite la propagación de malware mediante el aislamiento en el nivel de la aplicación (sandbox, etc.), el nivel de red y con las listas de acceso.
• Suponga que está pirateado y busque indicadores (detección de incumplimiento).
• Entrena a tu personal.
• Lea sobre los ataques típicos, aprenda cómo funcionaron los ataques y aprenda cómo protegerse contra tales ataques.
• Gaste mucho dinero en inteligencia interna o deje que los sistemas los administren otros.

Definitivamente, la seguridad puede ser costosa, por lo que debe encontrar el equilibrio adecuado entre los activos que vale la pena proteger y cuánto puede pagar con los productos de seguridad y con la menor productividad causada por la limitación de las listas de acceso, etc. No creo en las reclamaciones de marketing de un solo vendedor.

Personalmente, veo que esta pregunta fue demasiado amplia para responderla. Sin embargo, haré algunas suposiciones de que ejecutará Windows en x86 / x64 y está protegiendo los ejecutables nativos, no los lenguajes de código de bytes como Java, .NET, etc.

Respuesta corta: No, no puedes protegerte del día cero. Estás protegiendo de un ataque que aún no se conoce.

Respuesta larga: puedes minimizar la posibilidad de que ocurra un ataque de día cero y / o el alcance del ataque.

Lo que puedes hacer para prevenir el ataque:

1. Si eres el desarrollador del software, puedes habilitar ASLR para tu aplicación.
2. Puedes habilitar DEP

Lo que puede hacer para reducir el alcance:

1. Ejecute el requisito mínimo de la aplicación según sea necesario. Por ejemplo, si la aplicación no necesita derechos de administrador, etc. Ejecútela como usuario estándar.
2. Reglas de firewall para una aplicación. Por ejemplo, si está ejecutando un sitio web. Solo necesitarás TCP 80 y TCP 443. Por lo tanto, filtra la mayor cantidad de puertos que puedas e IP si solo hay un conjunto conocido de IP.
3. Antivirus configure los derechos de acceso que tiene su aplicación. Si no necesita acceso de escritura a sus documentos, asegúrese de que esté denegado.
4. Sandbox para mayor cobertura, lo que tiene la ventaja de simular lo que realmente sucedió en lugar de que el AV niegue los permisos.

Si compartes más sobre exactamente lo que estás buscando, podré ampliar mi respuesta.

Aleatorización del diseño del espacio de direcciones (ASLR)

Prevención de ejecución de datos (DEP)