az internet ablakok Android
Kiterjed
a fő

Crystal Anti-Exploit védelem - segédprogram, hogy megvédje a számítógépet az internetes fenyegetésekről. A végberendezések védelme, vagy miért nem a víruskereső nem csodálja a hatékony védelmet a kihasználásból

Ez a csökkenés 10 ablakokkal frissített változata 1709 a kód neve Őszi Alkotók Update vagy Redstone 3. között a beállított változásokat, akkor először is érdekelt elleni fokozott védelem ismeretlen malleants. A Microsoft számos intézkedést fogadott el a trójai-titkosítók ellensúlyozására és a kizsákmányolásra. Milyen sikeresek azok sikeresek?

Régi New Defender

Minden új jól átrepült. Az "Őszi frissítés a tervezők számára", beágyazott biztonsági alkatrészek kombinálva a Windows Defender Security Center. Még a szoftver tűzfal is "Windows Defender Firewall" -nek nevezhető, de ezek a változások pusztán kozmetikai. Jelentősebb aggodalomra ad okot, hogy az alábbiakban részletesebben fontoljuk meg.

Egy másik régi új komponens megjelent a Redstone 3-ban, úgynevezett "Explit védelem". A Windows Defender Exending Guard, vagy egyszerűen például az "Alkalmazás és böngésző" szakaszban bekapcsolja a Windows Defender Security Center programot.

Technikailag kihasználó védőburkolat egy korábbi szolgáltatási program, amely fokozott mérséklési tapasztalat eszközkészlet, enyhén növekvő jellemzőkkel és új interfésszel. Az emet időnként megjelent Windows Vista.Most a támogatása megállt, és kihasználja az őrségét. Ez a fejlett fenyegetésvédelemhez tartozik, valamint az eszközvédő csatlakoztatott eszközkezelő és az alkalmazásvédő védővédelmei. A gonosz nyelvek azt mondják, hogy a Microsoftban kezdetben meg akarta mutatni a fejlett rendszer biztonsági őrének általános összetevőjét, de a rövidítés teljesen érintetlen volt.

A kihasználás elleni védelem

A kizsákmányolás csak kockázatcsökkentő eszköz, nem szünteti meg a szoftverek sérülékenységének szükségességét, de megnehezíti a használatát. Általánosságban elmondható, hogy a kizsákmányoló őr üzemeltetésének elvét az, hogy megtiltsák azokat a műveleteket, amelyeket leggyakrabban a rosszindulatú programok használnak.

A probléma az, hogy sok törvényes program is használja őket. Ráadásul vannak olyan régi programok (vagy inkább dinamikus könyvtárak), akik egyszerűen abbahagyják a munkát, ha használod Windows új Memória vezérlési funkciók és egyéb modern eszközök védelem.

Ezért a kizsákmányoló őrbeállítás ugyanazok a villák, mint a korábban használt emet. A memóriámban számos adminisztrátori szándékos a beállítások finomságában, majd egyszerűen leállítva a korlátozó funkciókat számos felhasználói panasz miatt.

Ha a biztonság mindenek felett van, és meg kell forgatnia az anyákat a füstbe, akkor a kizsákmányoló őrség legigényesebb funkciói voltak (az időből az EMET) és továbbra is:

  • Dep. (Adatfajtásmegelőzés) az adatok teljesítésének megakadályozása. Nem teszi lehetővé, hogy olyan kódfragmenst futtathasson, amely nem volt erre a memóriaterületre (például egy verem túlfolyó hiba következtében);
  • a memória véletlenszerű újraelosztása - megakadályozza a támadást jól ismert címeken;
  • a bővítési pontok letiltása - megakadályozza a DLL megvalósítását az indított folyamatokhoz (lásd az UAC bypass-ről, ahol ezt a módszert széles körben használták);
  • csapat Dislowprocesszíváció - megtiltja a megadott kérelmet leányvállalatok létrehozására;
  • a behozatali címek (IAF) és az export (EAF) szűrése (EAF) - nem teszi lehetővé (rosszindulatú) folyamat elvégzésére szempontjából címtáblázatokat és a hozzáférés a rendszer könyvtár memória oldalon;
  • CallerCheck. - ellenőrzi a bizalmas API hívására vonatkozó jogok elérhetőségét;
  • Simexec. - A végrehajtás utánzása. Ellenőrzések a kód tényleges végrehajtása előtt, aki visszaadja a hívásokat a bizalmas API-k számára.

A parancsok továbbíthatók a PowerShellen keresztül. Például a leányvállalatok létrehozásának tilalma ez így néz ki:

Set-ProcessMitiMer -Name executable_file.exe -enable dissalowChildProcesscreation

Minden X86-as processzorok és chipsetek az elmúlt tíz évben a kibocsátás támogatása DEP a hardver szintjén, és meglehetősen régi szoftverek esetén a funkció szoftver megvalósítása elérhető. Az új kompatibilitás érdekében azonban a Windows verziók A Microsoft régi szoftvere továbbra is ajánlja a DEP-t a rendszer folyamatainak bekapcsolásakor. Ugyanezen okból balra maradt, hogy bármilyen folyamathoz kapcsolja ki a DEP-t. Mindezt sikeresen alkalmazzák az adatmegelőzési rendszer technikájában.

Ezért a értelmében a Tett Guard lesz csak, ha van egy lehetőség, hogy egyidejűleg több védő funkciót lát el egyszerre, anélkül, hogy a hiba, legalábbis a munka a legfontosabb alkalmazásokat. A gyakorlatban ritkán lehetséges. Itt egy példa egy EG profil átszámolva EMET, amely általában kéri a Windows 10 BSOD. Egyszer a "hacker" volt a "Zapostroy" cím, és a kizsákmányoló őr tökéletesen illeszkedik bele.

A folytatás csak a résztvevők számára elérhető

1. lehetőség: Csatlakozzon az oldal közösséghez, hogy olvassa el az összes anyagot az oldalon

A közösségben a közösségben a megadott időszak alatt megnyitja Önt a hacker összes anyagához való hozzáféréshez, növeli személyes felhalmozódó kedvezményét, és felhalmozódik egy professzionális Xakep pontszámot!

A fejlesztés szakaszában minden programban és hálózatban a hackerek elleni védelem mechanizmusai a zárak típusától, figyelmeztetés jogosulatlan felügyeletet, beágyazódnak. A sebezhetőség hasonlít a nyitott ablakhoz, hogy átjusson, amelyen keresztül nem lesz sok nehéz a támadó számára. Abban az esetben, a számítógép vagy a hálózat, a támadók tudják állapítani a rosszindulatú szoftverek által sebezhetőségét annak érdekében, hogy kontroll vagy megfertőzni a rendszert a zsoldos célokra vonatkozó következményeket. A tál mindez történik a felhasználó tudás nélkül.

Hogyan merülnek fel a kihasználás?

A magyarázatot a fejlesztési folyamat hibái okozzák szoftverEnnek eredményeként a biztonsági réseket a programvédelmi rendszerben büntetőeljárások, amelyeket sikeresen használnak a CyberCriminals, hogy korlátlan hozzáférést biztosítsanak a programhoz, és az egész számítógépen keresztül. A magyarázatok a biztonsági rés típusának megfelelően vannak besorolva, amelyet egy hacker: nulla nap, DOS, SPOFING vagy XXS használ. Természetesen program a fejlesztők hamarosan ki biztonsági frissítéseket, hogy megszüntesse talált hibák azonban eddig a pontig, hogy a program még sebezhetőbbek.

Hogyan ismerjük fel a kihasználást?

Mivel a kizsákmányolás a program biztonsági mechanizmusaiban rudakat használ, a szokásos felhasználónak szinte nincs esélye a jelenlétük meghatározására. Ezért rendkívül fontos a támogatáshoz telepített szoftver Frissítve, különösen időben a programfejlesztők által gyártott biztonsági frissítések telepítéséhez. Abban az esetben, ha a szoftver fejlesztő kibocsátások biztonsági frissítés kiküszöbölésére bizonyos sebezhetőséget a szoftver, de a felhasználó nem fogja létrehozni, akkor sajnos a program nem fogja megkapni a legfrissebb vírus definíciókat.

Hogyan lehet kiküszöbölni a kihasználást?

Annak a ténynek köszönhetően, hogy a kizsákmányolás az elkötelezett hibák következménye, megszüntetése a fejlesztők közvetlen feladatait tartalmazza, így a szerzőknek elő kell előkészíteniük és küldeniük a hibajavításokat. A telepített programok fenntartásának kötelezettsége azonban a frissítési csomagok frissítésének és időben történő telepítésének kötelezettsége annak érdekében, hogy ne adjon esélyt a sérülékenységek használatára, teljesen a felhasználónál fekszik. Az egyik lehetséges módszerek Ne hagyja ki a legújabb frissítéseket - használja az Alkalmazáskezelőt, amely biztosítja, hogy az összes telepített program frissült, vagy - még jobb - az automatikus keresési eszközt használja és telepítse a frissítéseket.

Hogyan lehet megállítani a hackerek kísérleteit a harmadik féltől származó programok sérülékenységének használatához
  • Győződjön meg róla, hogy telepítette a legfrissebb biztonsági frissítéseket és javításokat minden programhoz.
  • Ahhoz, hogy biztonságban legyen online, és naprakészen maradjon az eseményekkel, azonnal állítsa az összes frissítést közvetlenül a kiadásuk után.
  • Telepítse és használjon prémium anti-vírust, amely képes automatikusan frissíteni a telepített programokat.
Biztosítsa magát a kizsákmányolásból

A józan észre támaszkodva, és kövesse az interneten biztonságos munka alapvető szabályait. A hackerek csak akkor tudják kihasználni a biztonsági rést, ha sikerül elérni a számítógépet. Ne nyissa meg a mellékleteket gyanús üzenetekben, és ne töltse le az ismeretlen forrásokból származó fájlokat. Támogató telepített programok frissítése, valamint a biztonsági frissítések időszerű telepítése. Ha egyszerűsíteni szeretné ezt a feladatot, amennyire csak lehetséges, letölthető antivirus Avast.amely nemcsak megbízható védelmet nyújt mindenféle rosszindulatú szoftver ellen, hanem segít a harmadik féltől származó programok legfrissebb frissítéseinek telepítésében is.

A zsarolási vírusok száma tavaly Háromszoros, és a visszaváltások száma 266% -kal nőtt, és átlagosan a világ 1000 dollárt tett ki az áldozatból.

Yakov Grodzensky, Az IB "System Software" irányának vezetője

A véges eszközök, köztük a mobileszközök, az elmúlt évtizedekben az elmúlt évtizedekben működő vállalkozások hálózatait időnként termesztették. Ez a növekedés egy depressziós fenyegetés táján zajlik: symantec. JelentésNaponta a globális hálózatban több mint egymillió vírusmintát jelenít meg. Például a tavalyi vírusok számának száma meghiúsult, és a visszaváltások száma 266% -kal nőtt, és átlagosan a világ 1000 dollárt tett ki az áldozatból.

Úgy tűnik, hogy a végpontok kiszabadításának tárgya ma Titanic lett, és alig vezette kézi és / vagy egyedülálló víruskereső segítségével.

És valóban, a Gartner elemzők a többszintű végberendezések védelmének folyamatos trendjét jelzik, beleértve a programok, csomópontok és alkalmazások fehér és feketelisták létrehozását a teljes védelmi ciklus keretében. Mit jelent ez, hogyan garantálja a vállalkozás biztonságát, és ott van olyan üzlet, amely nem elég régi víruskereső?

Próbáljuk meg kitalálni.

Mi a végpontbiztonság a vállalat és a piacon?

Amelyből az érett stratégia a végberendezések védelmére, ha minden egyes eszköz csatlakozik az Önhöz vállalati hálózatLényegében egy "ajtó" az értékes személyes és üzleti adatokhoz?

Először is, annak megértése, hogy az IB-adminisztráció a komplex jelensége, és a végberendezések egy eleme (és IT jelentése IB) infrastruktúrát, és meghatározza, hogy a védelmi végük és a védelem megkezdődik, például a hálózat, az valójában lehetetlen és értelmetlen.

Ez azt jelenti, adminisztrációs politika és a biztonsági protokoll önmagában fedezi a védelem valamennyi eleme az IT infrastruktúra. DE modern hálózat Vállalatok csatlakozni különböző végső eszköz, beleértve a PC-k, laptopok, okostelefonok, tabletta, POS terminálok ... és minden ilyen készüléknek teljesítenie kell a hálózati hozzáférési követelmények. Ez azt jelenti, hogy a számítógépes védelemnek legalább automatizáltnak kell lennie. Ezenkívül a végpont biztonsági politikáinak való megfelelés, figyelembe véve a növekvő számú fenyegetést ma, megköveteli, hogy legalább egy:

  1. tűzfalak különböző típusú eszközökhöz;
  2. víruskeresők e-mailben;
  3. az internetes forgalom felügyelete, szűrése és védelme;
  4. biztonsági menedzsment és védelmi megoldások mobileszközökhöz;
  5. az alkalmazás működésének ellenőrzése;
  6. adat titkosítás;
  7. inventációs észlelési eszközök.

Ugyanakkor a piac három alapvető megoldást kínál a végberendezések védelmére és azok kombinációira:

1. Az aláírásokon alapuló hagyományos vírusvállalkozások. Stabil eredményt adnak - de csak az aláírási bázison belül. Hihetetlenül nagy számú rosszindulatú minta miatt nem lehet releváns 100% minden pillanatban, plusz a felhasználó képes kikapcsolni a víruskereső készüléket a gépén.
2. Végpont kimutatás és válasz (EDR) vagy észlelés és válaszok az eseményekre. Ilyen megoldások, például Kedr a Kaspersky Lab, felismeri a mutatókat kompromatrátumok a végberendezésen, és blokkolja és / vagy kezelje. Általában ezek a rendszerek csak a hackelés tényezésével (invázió) dolgoznak az eszközön vagy a vállalati hálózaton.
3. A véges eszközök fejlett végpont védelme (AEP) vagy a véges eszközök fejlett védelme, amely magában foglalja a kihasználás és a rosszindulatú szoftverek, eszközök és kikötők, személyi tűzfalak és így tovább. Azaz a Aer-határozat küzd fenyegetések: a fenyegetés, elismert, megsemmisült, mielőtt hacker, így például a Palo Alto Networks csapdák, a Check Point Sandblast Agent (ez a megoldás során felismert a gyanús tevékenységek készít mentést), vagy Fortiklient.

De milyen az eladóval vagy a kettő kombinációja szolgáltatást választja, kezdetben azt nem árt tudni az alapvető szabályokat értékelésére kidolgozott megoldások és épület hatékony cyberscant stratégiáját end készülékek a hálózaton.

Hét alapszabály Endpoint-Cyberschits

A szabály először. A védelemnek semlegesítenie kell a támadási láncot.

Az elemzők és a cyberscare piac képviselői szerint a "vírusok és víruskeresetek" gondolkodás sikertelen stratégia egy olyan vállalkozás számára, amely meg akarja védeni üzleti tevékenységét. A vírusfertőzés és maga csak egy link egy sokkal hosszabb láncban, amely a vállalati hálózatok hackeléséhez vezet.

És megkezdi az infrastruktúrát betörni. Ennek megfelelően az inváziókkal szembeni hatékony védelem:

  1. a gondos ellenőrzés eszközei postai alkalmazások (Az e-mail még mindig "eszköz a malware" felhasználói eszközön való szállításához ");
  2. védelmi eszközök az interneten történő betöltéséből - a helyek 76% -a kellemetlen sebezhetőségeket tartalmaz. A technológia elemzésére a teljes bejövő és kimenő forgalmat, és kínál egy böngésző védelem blokkolja az ilyen fenyegetések futni a végső eszköz segít itt.
  3. hatékony védelem a végberendezésekhez, azaz a szolgáltatás ellenőrzése és alkalmazásai, és maga a készülék.
  1. a fájlok hírneve elemzése és a kulcs attribútumainak meghatározása (a fájl kezdeti helye és a letöltések száma). Ideális esetben a rendszer pálya, és megvizsgálja több száz linket és milliárd kapcsolatot a felhasználók, webhelyek és fájlok között, hogy nyomon kövesse a rosszindulatú programok eloszlását és mutációját, és megakadályozza a támadásokat;
  2. fejlett gépi tanulási elemek. Olyan, hogy valóban olyan értelmetlen technológia, amely elemezheti a globális hálózatban lévő billió fájlok trillióit, megkülönböztetheti a "jó" fájlokat a "rossz" és a rosszindulatú szoftverek blokkolását megelőzően;
  3. a kihasználás elleni védelem, különösen a nulla napi sebezhetőségek és a memóriaolvasók;
  4. a viselkedési megfigyelés, vagyis a forgatókönyvek, alkalmazások, eszközök és csomópontok "veszélyes" viselkedésének meghatározása a hálózatban - és megszünteti az ilyen fenyegetést;
  5. kiváló minőségű emuláció, vagy gyors létrehozás "Sandboxes", hogy azonosítsa és blokkolja a rosszindulatú szoftvereket az eszközön.

Második szabály. A végpont észlelése és válasza (EDR) vagy az incidensekre való vizsgálatnak az eredményen kell működnie.

A probléma az, hogy a mai számítógépesciminálok 82% -a a statisztikák szerint Képes elrabolni a vállalkozás "per perces vagy annál kisebb értékes adatait", míg a vállalatok 75% -a nem reagál az eseményekre legalább hetekben. Az ilyen rés a végberendezések biztonsági zónájában valóban magas kockázatokról szól.

A fejlett EDR megoldások izolálhatják a végberendezést a hatékony robbanásvizsgálathoz, állítsák le a vírus terjedését, és visszaállíthatják a készüléket az adatok nélküli másolatán keresztül.

Harmadik szabály. A rendszer nem zavarhatja az üzleti tevékenységet, ami azt jelenti:

a) A védelmi rendszerek teljesítménye és skálázhatósága ugyanolyan fontos. Vagyis a védelem nem akadályozhatja az üzleti folyamatok hatékonyságát és a gyors adatcserét a hálózatban. Plusz, fontos, hogy gyorsan telepítsünk egy kiberbiztonsági rendszert az új munkahelyeken, például regionális vagy külföldi ágban.

b) A végrehajtás és használat kumulatív értékének optimálisnak kell lennie.

A negyedik szabály. Központi kiberbiztonsági menedzsment. Szétszórt, kézi irányítás különböző pontokból. A védelmi megoldások növelik a hibák számát, a túlzott figyelmeztető jelzéseket és a hamis pozitívokat, hogy ne említsük meg az extra ideiglenes és pénzügyi kiadások Az "állatkert" adminisztrációjánál.

Ötödik szabály. Zökkenőmentes integráció a szoftver és a hardver megoldásokkal a hálózat minden oldalán hatékony munka Minden IB infrastruktúra, a Siem rendszerek átjáróinak védelméből. Fontos, hogy a végpontok védelmére szolgáló megoldásokat integrálják a hálózati hozzáférés-vezérléssel (hálózati hozzáférés-vezérlés, NAC), hogy bizonyos kockázati szinten egy számítógép izolálható legyen. Fontos továbbá, hogy az Endpoint termékek olyan Slutting IB megoldásokkal együtt működjenek, amelyek támogatják a mély csomagokat és az SSL közlekedési ellenőrzést.

Hatodik szabály. Az összes lehetséges operációs rendszer lefedettsége, beleértve a kiszolgálót és a mobiltelefont - emlékezzen arra a "különböző" eszközökre, amelyeket az alkalmazottak hoznak velük, vagy úgy döntenek, hogy dolgoznak az irodában.

Hetedik szabály. Fokozott védelem adat. Hagyja ezt a pillanatot, és nem kapcsolódnak közvetlenül a végberendezések védelméhez, de elvben, elvben lehetetlen hatékony IB-stratégiát fejleszteni. Az adatvédelem tartalmazza:

  1. titkosítás;
  2. segregáció (szétválasztás) webhelyek és hálózati csomópontok, felhasználói csoportok a hálózaton;
  3. a veszteségadatok elleni védelem, a helyreállítási eszközök;
  4. a fájlok és a fájlrendszer integritásának ellenőrzése.

... és három további

Első. Különös figyelmet fordítva a számítógépes gengszterek eltávolítására a mobil eszközökön. Byod / cyod / cope fogalmak Ez csak népszerűbb, és a vállalati hálózatok mobileszközeinek száma csak növekszik.
Ezek külön figyelmet érdemel, mert az ilyen eszközök általában nem csak a munka, és nem csak az irodában, ami azt jelenti, a fertőzés kockázatát a vállalati hálózat rajtuk keresztül nagyon magas.

Ideális esetben a "mobil IB menedzsment" stratégia lehet:

  1. mobil vps;
  2. a vállalati hálózatban lévő eszközök fokozott hitelesítése;
  3. harmadik féltől tartott tartalom ellenőrzése és ellenőrzése;
  4. az alkalmazások konténerizálása.

Második. A végberendezések KPI érettségi védelmének elemzése.

A forrester kutatási elemzők öt (figyelembe véve a nulla hat) szakaszát az IB-stratégia lejáratának szakaszában:

Nulla vagy hiányzó - Nincs szükség, nincs értelme, nincs formális követelmény.

Adhoc vagy spontán - A kiberkohónus szükségessége az ügy esetében nem merül fel az IB erőforrások tervezését, a folyamatokat nem dokumentálják.

Kényszerű - Intuitív, nem dokumentált, szükség esetén megszakítás nélkül használatos.

Tudatos - A folyamatokat dokumentálják, maga a stratégiát értjük és kiszámítható, de az intézkedések és források értékelését alkalmanként végzik.

Összefüggő - A kiváló minőségű eszközök kerülnek bevezetésre, jó formalizációs szint és (gyakran) automatizálási eljárások rendszeres értékelése akciók, folyamatok és beruházások.

Optimalizált - A folyamatok és a védelem szintje általában automatizált, és maga a stratégia hosszú távú, hatékony és projektív üzleti védelemmel épül fel. Az IB szolgáltatások és rendszerek integrációjának magas szintje.

Ennek megfelelően olcsóbb és biztonságosabb az utolsó három szakaszban. Ezzel a gradációval könnyebb az IB stratégia javításának céljainak meghatározása, ha az első három.

Harmadik. Végül, a végfelhasználói tudják, hogy milyen számítógépes védelem van, és folyamatosan növeli az IB-tudásukat és készségeiket. A leginkább romboló tényező az ember, és kereskedelmi személyzet nélkül is sikertelen lesz a legfejlettebb védelem. Ellenálljon az emberi tényezőnek, anélkül, hogy sérelme nélkül hadműveleti munka Senki sem tanult az üzleti életben. Ezért könnyebb és sokkal olcsóbb időben az emberek az AAM biztonságos viselkedésének és a szerkentyű.

A kizsákmányolások egy különleges fajta rosszindulatú program, amelyet a támadók használnak különböző trójaiak vagy támogatók telepítésére a felhasználó számítógépén. A telepítés ilyen működését a felhasználók számára észrevétlenül végzik el a felhasználó számára, amely támadók vitathatatlan előnyökkel jár. A kizsákmányolás egy adott opcionális operációs rendszeren lévő sérülékenységet igyekszik használni.

A felhasználó számára a legveszélyesebb szkript a kihasználó támadók használata, amely lehetővé teszi, hogy távolról állítsa be a kódot az operációs rendszerbe. Ebben az esetben egy személy elég ahhoz, hogy meglátogassa a sérült webes erőforrást a rosszindulatú kód (meghajtó) számára. Ha a számítógépnek a böngésző vagy pluginok sérülékeny változata van rá, akkor a valószínűség, hogy fertőzheti a rosszindulatú kódot nagyon magas.

Az operációs rendszer frissítése, valamint a telepített szoftver jó gyakorlat. Mivel a gyártók rendszeresen zárják be a sebezhetőséget újra megjelenik benne. Az összetevők számával, amelyeken keresztül a felhasználó különleges kockázatnak van kitéve, az alábbiak tulajdoníthatók:

Különleges célzott támadások vagy támadások esetén az "öntözési lyuk", a támadók a szoftverek és operációs rendszerek 0DAY sérülékenységeit használhatják. Ez a név a sérülékenység, hogy a behatolók által használt felhasználás idején még nem lezárták a szállítót.

Az anti-vírus termékek képesek felismerni az aláírásokat. Így lehetővé teszi, hogy megvédje a felhasználó rosszindulatú tartalmát a repülés során, blokkolja a megfelelő weboldalt rosszindulatú tartalommal.

Modern kiadások Microsoft Windows.: A Windows 7, 8 és 8.1 beépített mechanizmusokkal rendelkezik, amelyek lehetővé teszik számunkra, hogy megvédjünk a felhasználót a kihasználás romboló akcióiból. Ezek a funkciók:

  • DEP & ASLR mechanizmusokami megnehezíti, hogy kihasználják az egyik vagy a másik sebezhetőségét szoftverek és az operációs rendszer miatt a korlátozások bevezetése a memória használatára nem vonatkozik végrehajtása és elhelyezése programok memória tetszőleges címeket. A DEP & ASLR Windows 7+ rendszeren a lehető legnagyobb szinten használható.
  • Felhasználó. Számlaellenőrzés, UACamely a Windows 7-ből véglegesített, és megköveteli a felhasználó megerősítését, hogy olyan programokat indítson el, amelyek szükségük van a változásra rendszerbeállítások és fájlokat készít a rendszerkönyvtárakban.
  • SmartScreen szűrő az operációs rendszerhez (A Windows 8 rendszerrel kezdődően), amely megakadályozza, hogy megakadályozza a felhasználó által a felhasználó által az interneten keresztül a Microsoft hírnevének adatait.
  • Speciális "fejlett védett mód" (továbbfejlesztett védett mód) Az Internet Explorer Browser (az IE 10-es indításához). A Windows 8-on lehetővé teszi a böngésző lapok futtatását az elkülönített folyamatok összefüggésében, amelyek korlátozottak bizonyos műveletek végrehajtásában. Windows 7 x64 esetén lehetővé teszi, hogy a böngésző lapokat külön 64 bites folyamatokként futtathatja.

PDF fájlok

A programokban megnyitott fájlok Adobe Reader.Az Acrobat PDF formátumban van, és elég veszélyes, különösen akkor, ha megbízhatatlan forrásokból származnak. Az Adobe kiterjesztette a PDF-t egy lehetséges szint maszkjára, így mindenféle tartalmat beágyaz. A dokumentumok használata egyik fő előnye pDF formátum Ez egy keresztplatform, a rider (Adobe Reader) rendelkezésre állása mellett a szükséges platformra.

Sok esetben a támadók pontosan rosszindulatú PDF fájlokat használnak, amelyek rosszindulatú programokat szállítanak a felhasználónak. Abban az esetben, ha az Adobe Reader verziója sérülékeny, a számítógépes fertőzés nagy valószínűsége van.

Tekintettel a nem biztonságos forrásokból származó PDF-dokumentumok használatának nagy kockázatára, valamint figyelembe véve a felhasználók nem történelmi biztonságát a biztonsági kérdésekben, a modern az Adobe verziói. Az olvasónak van egy speciális "védett módja" a dokumentumok megtekintésére vagy a "sandboxing" (védelem egy elszigetelt szoftver környezetben). Ha ilyen rendszert használ, kód: PDF fájl. Bizonyos potenciálisan veszélyes funkciók teljesítménye teljesen tilos.


Ábra. Sandbox üzemmód beállításai az Adobe Readerben.

Alapértelmezés szerint a biztonságos mód az eltávolított állapotban van. Annak ellenére, hogy az aktív jelzés "Engedélyezze a biztonságos üzemmódot az indításkor", ki van kapcsolva, mivel ennek az üzemmódnak a használata a "letiltott" állapotban van. Ennek megfelelően a program telepítése után rendkívül ajánlott ezt a beállítást "a potenciálisan nem biztonságos forrásokból" vagy az "minden fájl" fájlba történő átvitelére.

Kérjük, vegye figyelembe, hogy ha a biztonságos mód be van kapcsolva, az Adobe Reader letiltja a PDF-fájlokban használható funkciók tartományát. Ezért, amikor megnyitja a fájlt, megkaphatja a következő értesítést.

Ábra. Egy előugró hegy, amely az aktív védett megtekintési módot jelzi.

Ha magabiztos a fájl eredetében, aktiválhatja az összes funkcióját a megfelelő gomb megnyomásával.

Adobe Flash. Játékos.

A támadók nagyon szeretik az Adobe Flash Player-t. Mivel a tartalom lejátszására szolgáló pluginokat minden böngészőben használják, a sebezhetőségek keresése benne, és a későbbi felhasználás rosszindulatú célokra a behatolók rendkívül elsőbbségi feladata.

Az Adobe másik szoftverhez hasonlóan a Flash Player rendszeresen frissül az Adobe Security Bulletins (Adobe Security Bulletins) részeként. A legtöbb biztonsági résnek egyfajta távoli kódfuttatása van, ez azt sugallja, hogy a támadók használhatják a kód távoli kivitelezésének sérülékenységét.

Web böngésző gyártók, mint például az Adobe nem ül a helyén, és ágyazza különleges kihasználni védelmi mechanizmusok, amelyek a Flash Player plugin. Böngészők, mint az MS Internet Explorer (V10 a Windows 8 rendszeren), a Google Chrome és a Safari OS X (új verzió) A Flash Player lejátszó indítása a Sandbox folyamat (azaz Sandboxes) összefüggésében, amely korlátozza ehhez a folyamatot számos rendszererőforráshoz fájlrendszer és a hálózathoz dolgozik.

Magasan fontos funkció Ez időszerű frissítés plugin flash. Játékos a böngésző számára. A Google Chrome és az Internet Explorer 10 böngészője automatikusan frissül az új kimeneten. flash verzió Játékos, így a játékos automatikusan frissül számukra.

Az Adobe Flash Player verziójának ellenőrzéséhez használja a tisztviselőt. Forrás Adobe.

Ezenkívül a böngészők támogatják a Flash Player plugin teljes leválasztásának lehetőségét, hogy megtiltsák a böngészőt, hogy hasonló tartalmat játszanak. Már írtunk egy telepített cikket a Java plugin böngészőkben való használatával kapcsolatos problémákról. A Flash Player plugin kikapcsolása ugyanúgy történik.

A Google Chrome számára.

"Beállítások" -\u003e "Speciális beállítások megjelenítése" -\u003e "Tartalmi beállítások" -\u003e "Egyéni modulok letiltása".

Az Internet Explorer számára.

"Szolgáltatás" -\u003e "felépítmények beállítása".

ESET kihasználás blokkoló

A hetedik generációs anti-vírusellenes termékek legújabb verzióiban a proaktív védelem bővítménye ESET intelligens. Biztonság és ESET NOD32 Antivirus. Ellentétben a szokásos statikus aláírási detektálással, a kiaknázási blokkoló modul elemzi az alkalmazás viselkedését a gyanús akciók és technikák számára, amelyek kihasználják. Az ilyen cselekvések felfedezése után elemezték őket, és a rosszindulatú folyamat azonnal blokkolva van. Néhány hasonló intézkedést további elemzésnek vetnek alá a felhőnkben, amely biztosítja további jellemzők A felhasználók védelme célzott támadások és támadások a 0day kizsákmányolás.

Az Internet Explorer és a Google Chrome

Már írtunk az anyagunk elején, hogy a legelőnyösebb támadási módszer a felhasználók számára a behatolók számára a távoli kódfuttatás a böngészőn keresztül (Drive-by letöltés). Egy vagy másik módon, függetlenül a telepített bővítményektől, maga a böngésző tartalmazhat, és potenciálisan bizonyos mennyiségű sebezhetőséget tartalmaz. Ha a sebezhetőséget már a fejlesztők már megvizsgálták, és a frissítés megjelent, a felhasználó létrehozhat egy frissítést, és nem aggódhat, hogy a támadók kompromisszumok az operációs rendszert. Másrészt, ha a támadók ismeretlen sebezhetőséget használnak, azaz a nem zárva (0day), a helyzet bonyolult.

Sok modern böngésző és operációs rendszer a kompozícióban az alkalmazási folyamat izolálási technológiájának technológiája, amely nem teszi lehetővé a böngésző által nem teljesített műveletek végrehajtását. Általában ezt a technikát homokozónak nevezik, és lehetővé teszi, hogy korlátozza a folyamat által végzett műveletek korlátozását. Az ilyen szigetelés egyik példája az a tény, hogy a modern böngészők (például az Internet Explorer és a Chrome) az operációs rendszerben különálló folyamatokként hajtják végre a lapokat, amelyek lehetővé teszik a bizonyos műveletek bizonyos műveleteinek végrehajtását, valamint a stabilitás biztosítása érdekében maga a böngésző.. Abban az esetben, ha az egyik lap lóg, a felhasználó befejezheti mások befejezése nélkül.

Az MS Internet Explorer Browser (IE10 és 11) modern verzióiban van egy speciális homokozó technológia, amelyet "továbbfejlesztett védett mód" (fejlett védett mód) neveznek. Ez a mód lehetővé teszi, hogy korlátozza a lap vagy a plugin lapjának műveleteit, és ezáltal akadályozza a böngésző működésének lehetőségét a behatolók számára.


Ábra. Sandboxing mód az Internet Explorer számára, amely a 10. verzióból állt rendelkezésre.

A továbbfejlesztett védett módot (EPM) a Windows 8-ra véglegesítettük. Ha EPM-t használ a Windows 7 x64 rendszerben, akkor ez a funkció a böngésző lapokat 64 bites folyamatokként biztosítja (alapértelmezés szerint az IE elindítja a lapokat 32 bites folyamatként). Ne feledje, hogy az alapértelmezett EPM ki van kapcsolva.


Ábra. Az EPM bemutatása Windows 7 x64 rendszeren [az MS Folyamat Explorer segítségével]. Az opció engedélyezve van, a böngésző lap folyamata 64 bites, ami megnehezíti a rosszindulatú kód telepítésének képességét.

A Windows 8-tól kezdődően a Microsoft az operációs rendszeren (Sandboxing) működését az operációs rendszer szintjén adta meg. A technológiát "appcontainer" -nek nevezték el, és lehetővé teszi, hogy maximalizálja az EPM e mód előnyeit. Az Internet Explorer fül folyamata aktív EPM funkcióval működik az AppContainer módban. Ezenkívül a Windows 8 rendszerben az EPM mód alapértelmezés szerint engedélyezve van.

Ábra. Az EPM bemutatása a Windows 8 rendszeren, az AppContainer engedélyezve a lapokhoz (AKA sandboxing).


Ábra. Különbségek az EPM-ben a Windows 7 & 8 rendszeren.

A Google Chrome, mint az IE is különleges képességek A támadások megelőzése, mint például a meghajtó letöltése. De ellentétben a Chrome homokozó üzemmódja folyamatosan működik, és nem igényel további műveleteket a felhasználó számára.

A Chrome sandboxing mód azt jelenti, hogy a fül folyamata alacsony jogosultságokkal kezdődik, ami nem teszi lehetővé számukra különböző rendszertevékenységet.


Ábra. Sandboxing mód, amint azt a Google Chrome-ban hajtják végre. A hozzáférési markerben szinte minden SID-felhasználó azonosítója tagadta az állapotot, amely megtiltja az ilyen csoportok által megengedett fontos rendszerfunkciók elvégzését.


Ábra. A Chrome speciális feladatobjektumot használ, amely magában foglalja a böngésző összes folyamatát. Az objektum lehetővé teszi, hogy korlátozza a kérelem cselekvéseit az operációs rendszerek tekintetében, megakadályozza a böngésző behatolók általi kihasználását.

Ezen üzemmód mellett a Google Chrome képes olyan rosszindulatú URL-ek vagy webhelyek blokkolására, amelyek a Google által feketelisták, mint a Malware (Google Biztonságos böngészés) elosztása. Ez a funkció hasonló az Internet Explorer SmartScreen URL-adatbázisához.


Ábra. A Google Biztonságos böngészés a Google Chrome-ban a cselekvésben.

A böngészővel és az operációs rendszerrel kapcsolatban ez egy virtuális gép (vagy JRE szerda) a Java alkalmazások végrehajtásához. Az ilyen alkalmazások platform függetlensége teszi a Java nagyon népszerű használatát, ma már több mint három milliárd eszközt használnak.

Mint a többi plagins a böngésző, a Java plugint elég vonzó használni a támadók, és mivel a korábbi tapasztalatok felhasználásával réseket, azt mondhatjuk, hogy a Java legveszélyesebb komponens minden más böngésző plugin.

A korábban közzétett anyagunkban a Java használatának problémáiról a rendszeren írtunk, azt írtuk, hogy kikapcsolhatja ezt a bővítményt különböző böngészők Abban az esetben, ha nem használja a Java alkalmazást, és nem akarja veszélyt jelenteni.

Ha Java-t használ a Windows rendszeren, akkor a program biztonsági beállításai beállíthatók a kezelőpanelen lévő applet segítségével. Ezenkívül a változatok legújabb elemei lehetővé teszik a biztonsági beállítások testreszabását részletesebben, amely csak megbízható alkalmazások futtatását teszi lehetővé.


Ábra. A Java frissítése. A frissítési ellenőrzés alapértelmezés szerint engedélyezve van, a felhasználó a letöltési művelet előtt értesítést kap.

A Java teljes letiltásához a rendszerben használt összes böngésző rendszerben be kell állítania a "Java tartalom engedélyezése a böngészőben" beállítást a Java appletben.


Ábra. Eltávolítása az „Enable Java Content in Browser” kullancs teljesen kizárja annak a lehetőségét, plug-inek a telepített böngésző.

A Microsoft ingyenes eszközt gyárt a felhasználók számára, hogy segítsen megvédeni az operációs rendszert a kihasználásban használt támadások módszereiből.


Ábra. Emet interfész.

Az Enhanced Experience Toolkit Mightigation (EMET) eszköz a megelőző módszereket blokkoló különböző kihasználni védelmét célzó intézkedések alkalmazások ellen. Bár a modern Windows 7 és a Windows 8 beépített, alapértelmezett, DEP és ASLR képességekkel rendelkezik, az EMET, az EMET lehetővé teszi, hogy új funkciókat adjon meg blokkolja a kiaknázási műveleteket, valamint engedélyezze a DEP vagy az ASLR erőszakot szükséges folyamatok (Erősítse meg a rendszer védelmét az OS régebbi verzióira).

Az EMET külön-külön van konfigurálva minden alkalmazáshoz, azaz az alkalmazás védelme ezen eszközön keresztül meg kell adnia azt a megfelelő listában. Ezenkívül van olyan alkalmazások listája, amelyekre az EMET alapértelmezés szerint engedélyezve van, például az Internet Explorer, a Java, a Java, a Microsoft Office csomag programjai.

Az EMET használatáról és a képességeinek áttekintésére vonatkozó további információkért lásd a vállalati blogunkat.

Néhány olyan Windows-összetevő, amelyet nem fizetettünk különös figyelmet a magasabbra, a távoli kódfuttatásra vagy a kiváltság javítására szolgáló támadók is használhatók.


Ábra. A különböző Windows-összetevők korrekciós statisztikái a havi javításon belül kedd frissítések. A minősítés megmutatja azokat a komponenseket, amelyek gyakran frissítettek, mint a 2013 első felében.

A fenti rangsor azt mutatja, hogy az Internet Explorer böngésző zárva van a legnagyobb szám A tizenkét frissítés keretében több mint ötven sebezhetőség keretein belül több mint ötven sebezhetőséget zárultak le, és hat közülük a bezárás idején hatvan a-a-vadon élő vadon élő, azaz a behatolók aktív működésében volt.

A második legnagyobb korrigált komponens a jól ismert Windows alrendszer vezető - win32k.sys, amely működését a grafikus rendszer az operációs rendszer a kernel módban. Az összetevőben lévő sebezhetőségeket a behatolók használják, hogy növeljék a rendszer kiváltságait, például. Az UAC által előírt korlátozásokat.

Kérjük, vegye figyelembe, hogy alapértelmezés szerint a Windows 7 & 8 rendszerben automatikusan frissítheti a felhasználót. A frissítések ellenőrzése a kezelőpanelen is ellenőrizhető.

A króm-böngésző link biztonsági architektúrája
Az IE Enhanced Protected Mode Link megértése

Címkék: Címkék hozzáadása

Megpróbálja felismerni a rosszindulatú szoftverek jellemzőit, ha blokkolja a gyanús műveleteket.

A legtöbb víruskereső program azonosítása rosszindulatú fájlok Annak érdekében, hogy megakadályozzák letöltését és végrehajtását az ügyfélszámítógépen. Ez működik, de csak addig, amíg az új vírus nem jelenik meg, amelyre nincs pontos döntő jelek. CAEP (CRYSTAL ANTI kizsákmányolni VÉDELEM) kínál további védelmi intézkedések - nem ellenőrzi a számítógépet, nem használja az aláírás adatbázis: ehelyett egy különleges elismerést rendszert használnak. Ennek a rendszernek a fő feladata, hogy azonosítsa és blokkolja a potenciálisan rosszindulatú tevékenységeket a számítógépen.

Például az úgynevezett „backway letöltések” (drive-by download), amely leggyakrabban vezetnek a vírus bejutását a számítógépre, általában az eredmény a végrehajtás egy bizonyos kódot ellenőrizetlen forrásokból. Ennek a fenyegetésnek a megbirkózása, a CAMEP csomag megtilthatja az ideiglenes mappákból, a letöltési mappából és más helyeken. Ha megpróbálja még mindig megjeleníteni, a felhasználó figyelmeztetést kap - ha nem teszi lehetővé a fájl végrehajtását, akkor valószínűleg elkerüli a fertőzést.

A Connection Monitor Connection Model lehetővé teszi, hogy ellenőrizze az összes bejövő és kimenő csatlakozást többszörös és egyedi szűrők segítségével, hogy eldöntsék, hogy mely kapcsolatok megoldhatók, és amelyek nem lehetnek. A Memory Monitor modul védelmet nyújt véletlen hozzáférési memória A jól ismert kihasználásból, amelyek jelei éles változást jelentenek a kiosztott memória alkalmazásokban, az adatfelmérés megelőzésének váratlan felvétele - a külföldi adatok végrehajtásának védelme) a folyamatokhoz, a "halmok" és így tovább. Egy másik COM / ActiveX monitor modul segít megtalálni bizonyos alkalmazások ActiveX összetevőit, élvezve őket fehér vagy fekete listában.

A legtöbb esetben a Caep csomag a technikailag STATVy felhasználókra koncentrál. Természetesen csak futtathatja a programot, és nem megy be az összes technikai részletbe. Azonban, hogy megkapja a maximális visszatérést, akkor nagyon hasznos lesz a tudás alacsony szintű eszköz windows rendszerek. A Caep csomag egy másik korlátozása az, hogy jelenleg csak 32 bites folyamatokat támogatnak, bár a segédprogram maga is működik, és 32-ben és a Windows 64 bites verzióiban.

Érdemes megemlíteni, hogy a CAMEP csomag gyakran kéri a bővítmények indításának megerősítését, és nem csak a fő programokat. Tehát, amikor elindítja az Outlook 2010 ügyfél bővítményeit, meg kell erősítenie az indító és a fő csomagot, és az összes bővítmény kissé unalmas. Általánosságban elmondható, hogy a CAMEP csomag használata esetén valamilyen óvatosságot kell figyelembe venni, mivel ez a program zavarhatja a meglehetősen megbízható összetevők munkáját, beleértve a rendszerfrissítéseket is, így csak a rendszer megbízható biztonsági mentését kell biztosítania.

Ha nem veszi figyelembe a fenti problémákat, a Crystal Anti-Exploit védelmi segédprogram rendkívül érdekes és erőteljes eszköz, amely megakadályozza a behatolást, amellyel további védelmet képezhet bármely számítógép számára. Ezenkívül a csomag csatolva van részletes útmutató, segítségével haladó felhasználó Képes lesz teljesen beállítani a programot az Ön igényeihez, például a felesleges figyelmeztetések kikapcsolása. Tudjon meg többet a termékről és

Nem találta választ a kérdésedre? Nézd meg ide
Nem kezdődik Diablo III?Nem kezdődik Diablo III?
Hogyan ellenőrizze a számítógépet a kémprogramokhozHogyan ellenőrizze a számítógépet a kémprogramokhoz
Spyware a számítógépenSpyware a számítógépen