internetul Windows. Android
Extinde
principalul

Crystal anti-exploatare Protecție - Utilitate pentru a vă proteja PC-ul de amenințările pe Internet. Protejarea dispozitivelor finale sau de ce antivirusul nu pornește o protecție puternică de exploatare

Acest Windows Fall 10 Actualizat la versiunea 1709 cu numele de cod Fall Creators Update sau Redstone 3. Printre setul de schimbări, mai întâi interesați de o protecție îmbunătățită împotriva mallelor necunoscute. Microsoft a adoptat o serie de măsuri pentru a contracara criptarea și exploatările troianilor. Cât de succes au succes?

Vechiul apărător nou

Toate New este bine rebrantă. În "actualizarea de toamnă pentru designeri", componentele de securitate încorporate combinate în Centrul de securitate Windows Defender. Chiar și firewall-ul software-ului a început să fie numit "Firewall Windows Defender", dar aceste schimbări sunt pur cosmetice. Mai semnificative se referă la noi caracteristici pe care le vom lua în considerare mai multe detalii mai jos.

O altă componentă nouă a apărut în Redstone 3 se numește "Exprit protecția". Windows Defender Exploit Gendea, sau pur și simplu, pornește prin Centrul de securitate Windows Defender din secțiunea "Aplicație și browser".

Exploatarea din punct de vedere tehnic este un fostă program de ședere îmbunătățită a programului de măsurare a experienței de atenuare cu un set de caracteristici ușor în creștere și o nouă interfață. Emet a apărut în momente Windows Vista.Acum sprijinul său este oprit, iar exploatarea Garda și-a luat locul. Acesta aparține protecției avansate de amenințări, împreună cu apărătorii de dispozitive conectate cu dispozitivul de protecție și apărătorii aplicației. Limbile rele spun că în Microsoft a vrut inițial să prezinte componenta generală a gardianului avansat de securitate a sistemului, dar abrevierea a ieșit complet intactă.

Protecția împotriva exploatării

Exploatarea Garda este doar un instrument de reducere a riscurilor, nu elimină necesitatea de a închide vulnerabilitățile în software, dar face dificilă utilizarea. În general, principiul funcționării gardianului de exploatare este de a interzice acele operațiuni care sunt cele mai des utilizate de malware.

Problema este că multe programe legitime le utilizează, de asemenea. Mai mult, există programe vechi (sau mai degrabă, biblioteci dinamice) care vor înceta pur și simplu să lucreze dacă utilizați Windows Nou Funcțiile de control al memoriei și altele mijloace moderne protecţie.

Prin urmare, setarea de protecție a exploatării este aceleași furci ca și Emet anterior. În memoria mea, mulți administratori deliberă în subtilitatea setărilor și apoi au încetat pur și simplu să utilizeze funcții restrictive din cauza numeroaselor plângeri ale utilizatorilor.

Dacă securitatea este mai presus de toate și este necesar să se rotească piulițele la fum, atunci cele mai solicitate funcții ale gardului exploatat au fost (de la Emet de timp) și rămân:

  • Dep. (Prevenirea executării datelor) este de a preveni datele efectuate de date. Nu vă permite să rulați un fragment de cod care nu a fost destinat acestei zone de memorie (de exemplu, ca urmare a unei erori de depășire a stivei);
  • redistribuirea aleatorie a memoriei - împiedică atacul la adrese bine cunoscute;
  • dezactivați punctele de expansiune - previne implementarea DLL la procesele inițiate (a se vedea de la bypass-ul UAC, în cazul în care această metodă a fost utilizată pe scară largă);
  • echipă DislowedChildProcessCreetion - interzice aplicației specificate să creeze filiale;
  • filtrarea tabelelor de adrese de import (IAF) și exporturi (EAF) - nu permite procesul (rău intenționat) să efectueze punctul de vedere al tabelelor de adresă și să acceseze pagina de memorie a bibliotecii de sistem;
  • CallerCheck. - verifică disponibilitatea drepturilor de a apela API-ul confidențial;
  • Simexec. - imitație de execuție. Verifică înainte de executarea efectivă a codului, care va returna solicitările API-ului confidențial.

Comenzile pot fi transmise prin PowerShell. De exemplu, interdicția de a crea procese subsidiare arată astfel:

Set-ProcessMitiging -name Executurable_File.exe Dispozitive de respirareCreetion

Toate procesoarele X86 și chipseturile din ultimii zece ani de eliberare de eliberare Dep la nivelul hardware și pentru un software destul de vechi, implementarea software-ului acestei funcții este disponibilă. Cu toate acestea, din motive de compatibilitate a noului versiuni de ferestre Software-ul vechi al Microsoft recomandă încă pornirea depunerii numai în procesele de sistem. Din același motiv, a rămas stânga pentru a opri depa-ul pentru orice proces. Toate acestea sunt utilizate cu succes în tehnicile sistemului de prevenire a datelor.

Prin urmare, semnificația utilizării exploatațiilor de protecție va fi numai dacă există posibilitatea utilizării simultan a mai multor funcții de protecție, fără a provoca eșecul cel puțin în activitatea principalelor aplicații. În practică, este rareori posibilă. Aici este un exemplu de profil convertit din Emet, care, în general, apeluri Windows 10 în BSOD. Odată ce a "hacker" a fost rubrica "Zapostroy", și exploatarea gardă se potrivește perfect în ea.

Continuarea disponibilă numai participanților

Opțiunea 1. Alăturați-vă comunității site-ului pentru a citi toate materialele de pe site

Apartenența în comunitate În perioada specificată vă va deschide accesul la toate materialele Hacker, vă va mări reducerea cu acumularea personală și va acumula un rating profesionist XAKEP!

În etapa de dezvoltare în toate programele și rețelele, sunt încorporate mecanismele de protecție împotriva hackerilor în tipul de încuietori, avertizând supravegherea neautorizată. Vulnerabilitatea este similară cu fereastra deschisă, pentru a trece prin care nu va fi mult dificil pentru un atacator. În cazul unui calculator sau al unei rețele, atacatorii pot stabili software rău intenționat prin utilizarea vulnerabilității pentru a obține controlul sau a infecta sistemul în scopuri mercenar cu consecințe relevante. Bowlul tuturor lucrurilor se întâmplă fără cunoștințele utilizatorului.

Cum se ridică exploatarea?

Explicul sunt cauzate de erori în procesul de dezvoltare software.Ca urmare a căruia vulnerabilitățile sunt urmărite penal în sistemul de protecție a programului, care sunt utilizate cu succes de ciberneticul de cibernetici pentru a obține acces nelimitat la programul în sine și prin intermediul întregului computer. Explictele sunt clasificate în funcție de tipul de vulnerabilitate, care este utilizat de un hacker: Zero Zi, Dos, Spoofing sau XXS. Desigur, dezvoltatorii de programe vor lansa în curând actualizări de securitate pentru a elimina defectele găsite, cu toate acestea, până în prezent, programul este încă vulnerabil la intruși.

Cum să recunoașteți exploatarea?

Deoarece exploatările utilizează bare în mecanismele de securitate ale programului, un utilizator obișnuit nu are aproape nici o șansă de a-și determina prezența. De aceea este extrem de important să se sprijine software instalat Actualizat, mai ales în timp util pentru a instala actualizări de securitate fabricate de dezvoltatorii de programe. În cazul în care dezvoltatorul de software eliberează actualizarea securității pentru a elimina o anumită vulnerabilitate în software-ul său, dar utilizatorul nu va stabili, atunci, din păcate, programul nu va primi cele mai recente definiții virale.

Cum de a elimina exploatarea?

Datorită faptului că exploatările sunt consecința unor defecte comise, eliminarea lor este inclusă în atribuțiile directe ale dezvoltatorilor, astfel încât autorii vor trebui să pregătească și să trimită corectarea erorilor. Cu toate acestea, obligația de a menține programele instalate actualizate și instalarea în timp util a pachetelor de actualizare pentru a nu oferi șanse de a utiliza vulnerabilitățile, se află complet pe utilizator. Unul dintre metode posibile Nu pierdeți cele mai recente actualizări - Utilizați managerul de aplicații care vă va asigura că toate programele instalate au fost actualizate sau - ceea ce este chiar mai bun - utilizați instrumentul de căutare automată și instalați actualizări.

Cum să opriți încercările hackerilor de a utiliza vulnerabilitățile programelor terțe
  • Asigurați-vă că ați instalat cele mai recente actualizări de securitate și patch-uri pentru toate programele.
  • Pentru a fi sigure online și rămâneți la curent cu evenimentele, setați toate actualizările imediat după eliberarea acestora.
  • Instalați și utilizați antivirus premium, care este capabil să actualizeze automat programele instalate.
Asigurați-vă de exploatări

Se bazează pe bunul simț și urmați regulile de bază ale lucrărilor sigure pe Internet. Hackerii pot profita doar de vulnerabilitate dacă reușesc să acceseze PC-ul. Nu deschideți atașamentele în mesaje suspecte și nu descărcați fișiere din surse necunoscute. Suport programe instalate actualizate și, de asemenea, instalați actualizări de securitate. Dacă doriți să simplificați această sarcină cât mai mult posibil, descărcați antivirus avast.care nu numai că va oferi o protecție fiabilă împotriva tuturor tipurilor de software rău intenționat, dar va contribui, de asemenea, la instalarea celor mai recente actualizări pentru programele terță parte.

Numărul de viruși de extorcare pentru anul trecut Tripled, iar numărul de răscumpărări a crescut cu 266%, iar în medie lumea sa ridicat la 1000 de dolari de la victimă.

Yakov. Grodzensky., Șeful direcției IB "Software Software"

Volumul dispozitivelor finite, inclusiv mobil, în rețelele de întreprinderi în ultimele decenii, a crescut uneori. Această creștere are loc pe un peisaj de amenințare deprimant: symantec. RaportZilnic în rețeaua globală apare peste un milion de probe de virus. De exemplu, numărul de virusuri de extorcare a fost triplat, iar numărul de răscumpărări a crescut cu 266%, iar în medie lumea sa ridicat la 1.000 de dolari de la victimă.

Se pare că obiectul securității cibernetice a punctelor finale astăzi a devenit titanic și abuzat de greu de către manual și / sau cu ajutorul singur antivirus.

Și într-adevăr, analistii Gartner marchează tendința constantă a protecției dispozitivului final pe mai multe niveluri, inclusiv crearea de liste albe și negru de programe, noduri și aplicații și alte instrumente de control în cadrul ciclului de protecție completă. Ce înseamnă acest lucru, cum să garanteze securitatea întreprinderii și există vreo afacere nu suficiente antivirusuri vechi?

Să încercăm să ne dăm seama.

Ce este Securitatea Endpoint pentru companie și pe piață?

Din care strategia matură pentru protejarea dispozitivelor finale, dacă fiecare dispozitiv conectat la dvs. rețeaua corporativăEste în esență o "ușă" la datele personale și de afaceri valoroase?

În primul rând, de la înțelegerea faptului că administrația IB este fenomenul complexului, iar dispozitivele finale sunt un element al acesteia (și înseamnă Ib) și pentru a determina unde începe scopurile și protecția lor, de exemplu, rețeaua este de fapt imposibil și lipsit de sens.

Aceasta este, politicile de administrare și protocolul de securitate în sine ar trebui să acopere protecția tuturor elementelor infrastructurii IT. DAR rețeaua modernă Întreprinderile conectează o varietate de dispozitive finale, inclusiv PC-uri, laptopuri, smartphone, tablete, terminale POS ... și fiecare astfel de dispozitiv trebuie să îndeplinească cerințele de acces la rețea. Aceasta înseamnă că protecția lor cibernetică ar trebui să fie cel puțin automatizată. În plus, respectarea politicilor de securitate a punctului final, luând în considerare numărul tot mai mare de amenințări, necesită utilizarea cel puțin una:

  1. firewall-uri pentru diferite tipuri de dispozitive;
  2. antivirusuri pentru e-mail;
  3. monitorizarea, filtrarea și protecția traficului web;
  4. gestionarea securității și soluțiile de protecție pentru dispozitivele mobile;
  5. controlul operațiunii de aplicare;
  6. criptarea datelor;
  7. instrumente de detectare a incipitului.

În același timp, piața oferă trei soluții de bază pentru protecția dispozitivelor finale și combinațiile acestora:

1. Antivirusuri tradiționale bazate pe semnături. Ele dau un rezultat stabil - dar numai în baza de semnătură. În virtutea unui număr incredibil de mare de mostre rău intenționate, nu poate fi relevant 100% la fiecare moment de timp, plus utilizatorul este capabil să oprească antivirusul pe mașină.
2. Detectarea și răspunsul punctului (EDR) sau detectarea și răspunsul la incidente. Astfel de soluții, de exemplu, Kedr de la Laboratorul Kaspersky, recunosc indicatorii compromitează dispozitivul final și blocul și / sau îl tratează. De obicei, aceste sisteme funcționează numai pe faptarea hacking (invazia) pe dispozitiv sau în rețeaua corporativă.
3. Protecție avansată (AEP) sau protecția avansată a dispozitivelor finite, care include metode preventive de protecție împotriva exploatărilor și a software-ului rău intenționat, a dispozitivelor și a porturilor, a firewall-urilor personale și așa mai departe. Adică, decizia aerului se luptă cu amenințările: amenințarea este recunoscută și distrusă înainte de hacking, cum ar fi, de exemplu, în capcanele de rețele Palo Alto, agentul de nisip de check Point (această soluție este detectată în timp ce detectează activitățile suspecte să facă backup-uri) sau Forticlient.

Dar ce fel de vânzător sau o combinație de servicii pe care le alegeți, în mod inițial merită să cunoașteți regulile de bază pentru evaluarea unor astfel de soluții și construirea unei strategii eficiente cybercant de dispozitive finale din rețeaua dvs.

Șapte reguli de bază Endpoint-Cyberschits.

Regula este mai întâi. Protecția ar trebui să neutralizeze întregul lanț de atacuri.

Potrivit analiștilor și reprezentanților pieței Cyberscare, gândirea "virusurilor și antivirusurilor" este o strategie eșuată pentru o întreprindere care dorește să-și protejeze afacerea. Infecția cu virușii și în sine este o singură legătură într-un lanț mult mai lung, care duce la rețelele corporative de hacking.

Și începe cu o încercare de a vă invada infrastructura. În consecință, protecția eficientă împotriva invaziilor conține astăzi:

  1. instrumente de verificare atentă aplicații poștale (E-mailul este încă mai important ca un "instrument pentru livrarea malware-ului" pe dispozitivele utilizatorului);
  2. instrumente de protecție din încărcarea aplicațiilor nedorite de pe Internet - 76% din situri conțin vulnerabilități neplăcute. Tehnologia analizând întregul trafic de intrare și de ieșire și oferind o protecție a browserului pentru a bloca astfel de amenințări pentru a rula pe dispozitivul final va ajuta aici.
  3. protecție puternică pentru dispozitivele finale, adică serviciul cu control și aplicații și dispozitivul însuși.
  1. analiza reputației fișierelor și definirea atributelor cheie (locația inițială a fișierului și numărul descărcărilor sale). În mod ideal, sistemul urmărește și examinează sute de link-uri și miliarde de conexiuni între utilizatori, site-uri și fișiere pentru a urmări distribuția și mutația malware-ului și pentru a preveni atacul;
  2. elemente avansate de învățare a mașinilor. Adică tehnologia nonsens de lucru cu adevărat care poate analiza trilioane de fișiere într-o rețea globală, pentru a distinge fișierele "bune" de la "rău" și blochează software rău intenționat înainte de a fi declanșat;
  3. protecția împotriva exploatării, în special vulnerabilitățile ZERO și a cititorilor de memorie;
  4. monitorizarea comportamentală, adică definiția comportamentului "periculos" al scripturilor, aplicațiilor, dispozitivelor și nodurilor din rețea - și elimină o astfel de amenințare;
  5. emularea de înaltă calitate, sau crearea rapidă "Sandboxuri" pentru a identifica și a bloca software-ul rău intenționat pe dispozitiv.

Regula a doua. Detectarea și răspunsul final (EDR) sau investigarea și răspunsul la incidente ar trebui să funcționeze la rezultat.

Problema este că 82% din ciberneticile de astăzi conform statisticilor Abilitatea de a răpia datele valoroase ale întreprinderii "pe minut sau mai puțin", în timp ce 75% dintre companii nu răspund la incidente cel puțin săptămâni. Un astfel de decalaj vorbește despre riscuri cu adevărat mari în zona de securitate a dispozitivelor finale.

Soluțiile EDR avansate vă pot izola dispozitivul final pentru o investigație eficientă de explozie, opriți răspândirea virusului și pentru a restabili dispozitivul prin copia sa nelustrată a datelor.

Regula a treia. Sistemul nu ar trebui să interfereze cu afacerea, ceea ce înseamnă:

a) Performanța și scalabilitatea sistemelor dvs. de protecție este la fel de importantă. Adică, apărarea dvs. nu ar trebui să împiedice eficiența proceselor de afaceri și schimbul de date rapid în rețea. În plus, este important să implementați rapid un sistem de securitate cybers în locurile de muncă noi, de exemplu, într-o sucursală regională sau străină.

b) Valoarea cumulativă a implementării și utilizării acestuia ar trebui să fie optimă.

Regula patru. Gestionarea centralizată a securității cibernetice. Împrăștiate, controlate manual din diferite puncte. Soluțiile de protecție cresc numărul de erori, alerte excesive și pozitive false, ca să nu mai vorbim de extra temporar și cheltuielile financiare Privind administrarea acestui "grădină zoologică".

Regula cincea. Integrare fără probleme cu soluții de software și hardware pe fiecare site al rețelei muncă eficientă Toate infrastructurile IB, de la protejarea gateway-urilor la sistemele SIEM. Este important ca soluțiile pentru protejarea punctelor finale să fie integrate cu controlul accesului la rețea (controlul accesului la rețea, NAC), astfel încât la un anumit nivel de risc, un computer poate fi izolat. De asemenea, este important ca produsele finale să funcționeze împreună cu soluțiile IB Curtive care suportă pachete profunde și inspecția traficului SSL.

Regula a șasea. Acoperirea tuturor sistemelor de operare posibile, inclusiv a serverului și a mobil - amintiți-vă de setul de dispozitive "diferite" pe care angajații le aduc cu ei sau aleg să lucreze în birou.

A șaptea regulă. Îmbunătățirea apărării date. Lăsați acest moment și nu sunt direct legate de protecția dispozitivelor finale, dar fără ea, în principiu, este imposibil să se dezvolte o strategie eficientă IB. În protecția datelor include:

  1. criptare;
  2. segregarea (separarea) a site-urilor și a nodurilor de rețea, grupuri de utilizatori în rețea;
  3. protecția împotriva datelor privind pierderea, mijloacele de recuperare;
  4. monitorizarea integrității fișierelor și a sistemului de fișiere.

... și trei suplimentare

Primul. O atenție deosebită la eliminarea cibernelor cibernetice pe dispozitivele mobile. Conceptele BYOD / CYOD / COPE Este doar mai popular, iar numărul de dispozitive mobile din rețelele corporative este în creștere.
Acestea necesită o atenție deosebită, deoarece astfel de dispozitive sunt utilizate, de obicei, nu numai pentru muncă și nu numai în birou, ceea ce înseamnă riscul de infectare a rețelei corporative prin intermediul acestora este foarte mare.

În mod ideal, strategia "Mobile IB Management" poate include:

  1. vPS mobile;
  2. autentificarea îmbunătățită a dispozitivelor din rețeaua corporativă;
  3. controlul și monitorizarea conținutului terț;
  4. containerizarea aplicațiilor.

Al doilea. Analiza protecției dvs. de scadență KPI a dispozitivelor finale.

Analiștii de cercetare pe Forrester disting cinci (luând în considerare zero șase) etapele scadenței IB Strategia de întreprindere:

Zero sau absent. - Nu este nevoie, nici o înțelegere, fără cerințe formalizate.

Adhoc sau spontan - Necesitatea cascount rezultă din cauza cazului, nu există planificare a resurselor IB, procesele nu sunt documentate.

Forţat - Intuitiv, nedocumentat, este utilizat neîntrerupt, dacă este necesar.

Conştient - Procesele sunt documentate, strategia în sine este înțeleasă și previzibilă, dar evaluarea acțiunilor și a resurselor se desfășoară ocazional.

Legate de - Sunt introduse un instrument de management de înaltă calitate, un nivel bun de formalizare și (adesea) proceduri de automatizare, o evaluare periodică a acțiunilor, proceselor și investițiilor.

Optimizat - Procesele și nivelurile de protecție sunt de obicei automatizate, iar strategia în sine este construită cu protecție pe termen lung, eficientă și proiectivă a afacerilor. Nivel ridicat de integrare a serviciilor și sistemelor IB.

În consecință, este mai ieftin și mai sigur în ultimele trei etape. Cu această gradă, este, de asemenea, mai ușor să se stabilească obiectivele de îmbunătățire a strategiei IB dacă vă aflați în primele trei.

Al treilea. În cele din urmă, utilizatorii dvs. dispozitivelor finale știu ce este protecția cibernetică și în continuă creștere a cunoștințelor și abilităților IB. Cel mai distructiv factor este omul, și fără personal comercial, chiar și cea mai avansată apărare va fi eșuată. Rezista factorului uman fără a aduce atingere lucrări operaționale Nimeni nu a învățat încă afaceri. Prin urmare, este mai ușor și mult mai ieftin în timp pentru a instrui oamenii la un comportament sigură Azam și utilizarea gadget-urilor lor.

Exploataturile sunt un tip special de malware, care este folosit de atacatori pentru a instala diverși troieni sau backdors pe computerul utilizatorului. O astfel de operație de instalare utilizând exploatări este efectuată neobservată pentru utilizator, care oferă atacatorilor avantaje incontestabile. Exploatarea încearcă să utilizeze vulnerabilitatea într-o anumită componentă de OS pentru o operație similară.

Pentru utilizator, cel mai periculos script este utilizarea atacatorilor de exploatare, care vă permite să setați de la distanță codul în sistemul de operare. În acest caz, o persoană este suficientă pentru a vizita resursa web compromisă pentru codul rău intenționat (drive-by). Dacă computerul dvs. are o versiune vulnerabilă a browserului sau a pluginurilor, atunci probabilitatea ca puteți infecta codul rău intenționat foarte mare.

Actualizarea sistemului de operare, precum și software-ul instalat este o bună practică. Deoarece producătorii apropie în mod regulat vulnerabilitatea reapariția în acesta. Prin numărul de componente prin care utilizatorul este supus unui risc special, pot fi atribuite următoarele:

În cazul atacurilor speciale orientate sau a atacurilor de "gaură de udare", atacatorii pot folosi vulnerabilități de 0 zile în software și OS. Acest nume este vulnerabilitățile care, la momentul utilizării, de către intrușii lor nu au fost încă închise de către furnizor.

Produsele anti-virus sunt capabile să detecteze exploatări prin semnături. Astfel, vă permite să protejați utilizatorul de la conținutul rău intenționat în zbor, blocând pagina web corespunzătoare cu conținut rău intenționat.

Ediții moderne Microsoft Windows.: Windows 7, 8 și 8.1 au mecanisme încorporate care ne permit să protejăm utilizatorul de acțiunile distructive ale exploatărilor. Aceste caracteristici includ:

  • Mecanisme DEP & ASLRCare este dificil să se exploateze una sau o altă vulnerabilitate în software și OS datorită impunerii restricțiilor privind utilizarea memoriei care nu sunt supuse executării și plasării programelor în memorie pentru adrese arbitrare. Dep & Aslr pe Windows 7+ este utilizat la nivelul maxim posibil.
  • Utilizator. Controlul contului, UAC.care a fost finalizată din Windows 7 și necesită confirmarea de la utilizator să lanseze programe care au nevoie de schimbare setarile sistemului și crearea de fișiere în directoarele de sistem.
  • Filtru SmartScreen pentru OS (Începând cu Windows 8 pentru OS), care ajută la prevenirea încărcării persoanelor rău intenționate de către utilizator pe baza informațiilor despre reputația Microsoft.
  • Special "Mod avansat protejat" (modul îmbunătățit protejat) Pentru browserul Internet Explorer (începând cu IE 10). Pe Windows 8 vă permite să rulați filele browserului în contextul proceselor izolate care sunt limitate în efectuarea unor acțiuni. Pentru Windows 7 x64, vă permite să rulați filele browserului ca procese separate pe 64 de biți.

Fișiere PDF.

Fișiere concepute pentru a fi deschise în programe Adobe Reader., Acrobat are format PDF și sunt suficient de periculoase, mai ales dacă sunt obținute din surse nesigure. Adobe a extins PDF la o măști de un nivel posibil, permițându-vă să încorporați toate tipurile de conținut. Unul dintre principalele avantaje ale utilizării documentelor în formatul PDF. Este o platformă încrucișată, sub rezerva disponibilității călărețului (Adobe Reader) pentru platforma de care aveți nevoie.

În multe cazuri, atacatorii folosesc exact fișiere PDF rău intenționate pentru a livra malware utilizatorului. În cazul în care versiunea Adobe Reader utilizat este vulnerabilă, există o mare probabilitate de infecție pe calculator.

Având în vedere riscurile ridicate de utilizare a documentelor PDF din surse nesigure, precum și luând în considerare non-istoricitatea utilizatorilor în problemele de siguranță, modern versiuni ale Adobe. Reader are un mod special de "protejat" de vizualizare a documentelor sau "sandboxing" (protecție într-un mediu software izolat). Când utilizați un astfel de regim, codul de la Fișier PDF. Performanța anumitor funcții potențial periculoase este pe deplin interzisă.


Smochin. Setările modului de sandbox în Adobe Reader.

În mod implicit, modul sigur se află în starea îndepărtată. În ciuda tipului activ "Activați modul Secure la pornire", acesta este oprit de la utilizarea acestui mod este în starea "dezactivată". În consecință, după instalarea programului, este extrem de recomandat să transferați această setare la "pentru fișierele din surse potențial nesigure" sau "toate fișierele".

Rețineți că atunci când modul sigur este activat, Adobe Reader dezactivează gama de funcții care pot fi utilizate în fișiere PDF. Prin urmare, când deschideți fișierul, puteți obține următoarea notificare.

Smochin. Un vârf pop-up care indică modul de vizualizare activă protejată.

Dacă sunteți încrezător în originea acestui fișier, puteți activa toate funcțiile sale prin apăsarea butonului corespunzător.

Adobe Flash. Jucător.

Atacatorii sunt foarte iubiți de Adobe Flash Player. Deoarece pluginurile sale pentru redarea conținutului sunt utilizate în toate browserele, căutați vulnerabilități în IT și utilizarea ulterioară în scopuri rău intenționate este o sarcină extrem de prioritară de la intruși.

Ca și celălalt software de la Adobe, Flash Player este actualizat în mod regulat ca parte a buletinelor de securitate Adobe (Buletine de securitate Adobe). Majoritatea acestor vulnerabilități au un tip de execuție de cod la distanță, ceea ce sugerează că atacatorii pot folosi o vulnerabilitate pentru executarea de la distanță a codului.

Producătorii de browser web ca Adobe nu stau în poziție și încorpora mecanisme speciale de protecție care utilizează pluginuri Flash Player. Browsere precum MS Internet Explorer (V10 pe Windows 8), Google Chrome și Safari OS X (versiunea nouă) lansează player Flash Player în contextul procesului de nisip (adică sandboxuri), limitând accesul la acest proces la multe resurse de sistem, locuri sistemul de fișiere și lucrul cu rețeaua.

Foarte o funcție importantă Este actualizată în timp util plugin bliț. Jucător pentru browser. Browserele precum Google Chrome și Internet Explorer 10 sunt actualizate automat cu o nouă ieșire. versiunea flash. Jucător, astfel încât jucătorul va fi actualizat automat pentru ei.

Pentru a verifica versiunea dvs. de Adobe Flash Player, utilizați oficialul. Sursă Adobe.

În plus, browserele suportă posibilitatea unei decontări complete a pluginului Flash Player, pentru a interzice browserul să redea conținut similar. Am scris deja un articol desfășurat despre problemele utilizării pluginului Java în browsere. Oprirea pluginului Flash Player se face în același mod.

Pentru Google Chrome.

"Setări" -\u003e "Afișați setările avansate" -\u003e "Setări de conținut" -\u003e Dezactivați modulele individuale ".

Pentru Internet Explorer.

"Service" -\u003e "a stabilit suprastructuri."

ESET Exploat Blocker

Este o add-in de protecție proactivă în cele mai recente versiuni ale produselor anti-virus de generație a șaptea ESET SMART. Securitate și ESET NOD32 Antivirus. Spre deosebire de detectarea obișnuită a semnăturii statice, modulul Blocker Exploat analizează comportamentul aplicației pentru acțiunile și tehnicile suspecte care exploatează să se bucure. După descoperirea unor astfel de acțiuni, acestea sunt analizate, iar procesul rău intenționat este imediat blocat. Unele acțiuni similare sunt supuse unei analize suplimentare în norul nostru, care oferă caracteristici suplimentare Privind protecția utilizatorilor de atacuri și atacuri orientate folosind exploatări de 0 zile.

MS Internet Explorer și Google Chrome

Am scris deja la începutul materialului nostru că metoda cea mai preferată de atac de pe utilizatori pentru intruși este execuția de cod de la distanță prin browser (Drive-by descărcare). Într-un fel sau altul, indiferent de pluginurile instalate, browserul în sine poate conține și poate conține o anumită cantitate de vulnerabilități. Dacă vulnerabilitatea a fost deja investigată de dezvoltatori și actualizarea a fost lansată pentru aceasta, utilizatorul poate stabili o actualizare și nu poate face griji că atacatorii compromit sistemul său de operare. Pe de altă parte, dacă atacatorii folosesc o vulnerabilitate necunoscută, adică cea care nu a fost închisă (0 zi), situația este complicată.

Multe browsere web moderne și OS au în componența lor tehnologia tehnologiei de izolare a procesului de aplicare, fără a permite executarea unor acțiuni pe care browserul nu le este îndeplinită. În general, această tehnică se numește sandboxing și vă permite să impuneți restricții asupra acțiunilor efectuate de proces. Un exemplu de astfel de izolație este faptul că browserele moderne (de exemplu, Internet Explorer și Chrome) își execută filele ca procese separate în sistemul de operare, care, astfel, stabilind permisiunea de a efectua anumite acțiuni într-o filă specifică, precum și asigurarea stabilității a browserului în sine.. În cazul în care una dintre file se blochează, utilizatorul îl poate completa fără a completa pe alții.

În versiunile moderne ale browserului MS Internet Explorer (IE10 și 11) există o tehnologie specială de nisip, numită "Mod protejat îmbunătățit" (modul avansat protejat). Acest mod vă permite să limitați acțiunile tabei din fila sau pluginul și să împiedicați astfel posibilitățile de funcționare a browserului pentru intruși.


Smochin. Modul de nisip pentru Internet Explorer, care a fost disponibil de la cea de-a 10-a versiune.

Modul îmbunătățit protejat (EPM) a fost finalizat pentru Windows 8. Dacă utilizați EPM în Windows 7 x64, atunci această caracteristică furnizează filele browserului ca procese pe 64 de biți (în mod prestabilit, adică vă lansează filele ca procese pe 32 de biți). Rețineți că EPM implicit este oprit.


Smochin. Demonstrarea EPM pe Windows 7 x64 [folosind MS Process Explorer]. Cu opțiunea activată, procesele din fila browserului sunt lansate ca pe 64 de biți, ceea ce face dificilă operarea capacității lor de a instala un cod rău intenționat.

Începând cu Windows 8, Microsoft a introdus suportul pentru funcționarea procesului (sandboxing) la nivelul OS. Tehnologia a fost numită "AppContainer" și vă permite să maximizați posibilitatea de a utiliza avantajele acestui mod pentru EPM. Procesele FIL Internet Explorer cu o funcție activă EPM funcționează în modul AppContainer. În plus, în Windows 8, modul EPM este activat în mod implicit.

Smochin. Demonstrarea EPM pe Windows 8, AppContainer Activat pentru file (Aka Sandboxing).


Smochin. Diferențele în EPM pe Windows 7 și 8.

Google Chrome ca și cum ar fi de asemenea abilitati speciale Pentru a preveni atacurile cum ar fi descărcarea drive-by. Dar, spre deosebire de acest lucru, modul de nisip pentru Chrome funcționează în mod constant și nu necesită acțiuni suplimentare pentru al permite utilizatorului.

Modul de nisip pentru crom înseamnă că procesele de fila sunt pornite cu privilegii reduse, ceea ce nu le permite să efectueze diverse acțiuni de sistem.


Smochin. Modul de nisip ca este implementat în Google Chrome. Aproape toți identificatorii de utilizatori ai utilizatorului SID din markerul de acces au o stare neagră, ceea ce interzice procesul de a efectua funcții importante ale sistemului permise de aceste grupuri.


Smochin. Chrome utilizează un obiect de sarcini speciale, care include toate procesele browserului. Obiectul vă permite să limitați acțiunile aplicației cu privire la resursele OS, împiedicând exploatarea browserului de către intruși.

În plus față de acest mod, Google Chrome are capacitatea de a bloca adresele sau site-urile rău intenționate care au fost liste de negru de către Google ca distribuții malware (navigarea în condiții de siguranță Google). Această caracteristică este similară cu baza de date URL din Internet Explorer SmartScreen.


Smochin. Google Safe Browsing în Google Chrome în acțiune.

În ceea ce privește browserul și sistemul de operare, este o mașină virtuală (sau JRE miercuri) pentru a executa aplicații Java. Independența platformei a unor astfel de aplicații face ca Java să fie foarte populară în uz, astăzi este folosit pentru mai mult de trei miliarde de dispozitive.

Ca și alte plăgii la browser, pluginul Java este destul de atractiv pentru a fi utilizat pentru atacatori și având în vedere experiența anterioară în utilizarea vulnerabilităților, putem spune că Java este cea mai periculoasă componentă din toate celelalte pluginuri de browser.

În materia noastră publicată anterior despre problemele de utilizare a Java pe sistemul dvs., am scris modul în care puteți dezactiva acest plugin pentru diverse browsere În cazul în care nu utilizați aplicații Java și nu doriți să vă expuneți pericolul.

Când utilizați Java pe Windows, atunci setările de securitate ale acestui program pot fi ajustate utilizând un applet de pe panoul de control. În plus, cele mai recente articole din versiunile sale vă permit să personalizați mai detaliat setările de securitate, ceea ce vă permite să rulați numai aplicații de încredere.


Smochin. Actualizați setările pentru Java. Verificarea actualizării este activată în mod implicit, utilizatorul este notificat înainte de operația de descărcare.

Pentru a dezactiva complet Java, în toate sistemele de browser utilizate în sistem, este necesar să configurați setarea "Activați conținutul Java din browserul" din Appletul Java.


Smochin. Scoaterea "Activați conținutul Java din browser" Tick dezactivează complet posibilitatea utilizării plug-in-ului în browserele instalate.

Microsoft produce un instrument gratuit pentru utilizatori pentru a ajuta la protejarea sistemului de operare din metodele de atac utilizate în exploatări.


Smochin. Interfața EMET.

Instrumentul Enhanced Formare Toolkit (EMET) utilizează metode preventive pentru blocarea diferitelor acțiuni de exploatare pentru a proteja aplicațiile de atacuri. Deși Windows 7 și Windows 8 au capabilități încorporate, implicite, depune și ASLR, EMET, EMET vă permite să introduceți noi caracteristici ale blocării acțiunilor exploatare, precum și să activați DEP sau ASLR forțat procesele necesare (Consolidarea protecției sistemului pe versiunile mai vechi ale OS).

EMET este configurat separat pentru fiecare aplicație, adică pentru a proteja aplicația prin acest instrument, trebuie să îl specificați în lista corespunzătoare. În plus, există o listă de aplicații pentru care EMET este activată în mod implicit, cum ar fi Internet Explorer, Java, Java, Microsoft Office Pachet.

Pentru mai multe informații despre utilizarea EMET și o imagine de ansamblu asupra capacităților sale, consultați blogul nostru corporativ.

Unele componente Windows pe care nu le-am plătit o atenție deosebită mai mare, pot fi, de asemenea, utilizați de către atacatori pentru executarea codului de la distanță sau pentru îmbunătățirea privilegiilor.


Smochin. Statistici de corecție a diferitelor componente Windows în cadrul actualizărilor lunare de metri de marți. Ratingul arată componentele care au fost actualizate mai des decât prima jumătate a anului 2013.

Clasamentul de mai sus arată că browserul Internet Explorer este închis cel mai mare număr Vulnerabilități, în cadrul a douăsprezece actualizări, mai mult de cincizeci de vulnerabilități au fost închise, iar șase dintre aceștia aveau statutul de exploatare-în-sălbatic în momentul închiderii, adică în operațiunea activă a intrușilor.

Cea de-a doua componentă cea mai corectată este noul driver de subsistem Windows - Win32K.SYS, care oferă funcționarea sistemului grafic al sistemului de operare în modul kernel. Vulnerabilitățile din această componentă sunt utilizate de intruși pentru a crește privilegiile din sistem, de exemplu. Bypass Restricții impuse de UAC.

Rețineți că, în mod implicit, în Windows 7 & 8, este posibil să furnizați automat actualizări utilizatorului. Verificați actualizările pot fi de asemenea verificate prin panoul de control.

Arhitectura de securitate a legăturii browserului de crom
Înțelegerea legăturii îmbunătățite a modului protejat

Tag-uri: Adăugați etichete

Încearcă să detecteze activitatea caracteristică a software-ului rău intenționat prin blocarea oricăror acțiuni care par suspecte.

Cele mai multe programe antivirus sunt identificate fișiere rău intenționate Pentru a preveni descărcarea și execuția lor pe PC-ul client. Funcționează, dar numai până când apare noul virus, pentru care nu există semne decisive precise. Caup (protecția împotriva exploatării cristalului) oferă măsuri suplimentare de protecție - nu scanează computerul, nu utilizează baza de date de semnătură: În schimb, se utilizează un sistem de recunoaștere specială. Principala sarcină a acestui sistem este identificarea și blocarea oricărei activități potențial rău intenționate pe PC.

De exemplu, așa-numitele "descărcări înapoi" (descărcare prin drive-by), care, cel mai adesea, conduc la un virus care intră într-un computer, sunt, de obicei, rezultatul executării unui anumit cod din surse neverificate. Pentru a face față acestei amenințări, pachetul CAEP poate interzice orice execuție a aplicației codului din foldere temporar, din dosarul Descărcări și din alte locuri. Dacă încercările de a face acest lucru apar încă, utilizatorul primește un avertisment - dacă nu permiteți executarea fișierului, atunci cel mai probabil evitați infecția.

Modelul conexiunii de conectare Monitor vă permite să verificați toate conexiunile primite și de ieșire utilizând filtre multiple și personalizate pentru a decide care conexiuni pot fi rezolvate și care nu pot fi. Modulul de memorie a modulelor oferă protecție memorie cu acces aleator Din exploatările bine cunoscute, ale căror semne sunt o schimbare bruscă a aplicațiilor de memorie alocate, includerea neașteptată a prevenirii executării datelor - protecția împotriva executării datelor străine) pentru procesele, curățarea "Haims" și așa mai departe. Un alt modul de monitorizare COM / ActiveX ajută la găsirea componentelor ActiveX ale anumitor aplicații, bucurându-le în listele albe sau negre.

Pachetul CAEP în cea mai mare parte este axat pe utilizatorii savanți din punct de vedere tehnic. Desigur, puteți rula programul și nu puteți intra în toate detaliile tehnice. Cu toate acestea, pentru a obține randamentul maxim, veți fi foarte util pentru cunoașterea dispozitiv de nivel scăzut sisteme Windows.. O altă restricție a pachetului CAEP este că numai procesele pe 32 de biți sunt în prezent acceptate, deși utilitatea în sine funcționează și în 32 și în versiunile de ferestre din 64 de biți.

De asemenea, merită menționat faptul că pachetul CAEP solicită adesea confirmarea lansării pentru add-on-uri și nu doar principalele programe. Deci, când începeți clientul Outlook 2010 cu add-on-uri, va trebui să confirmați lansarea și pachetul principal și toate add-urile să fie oarecum plictisitoare. În general, atunci când se utilizează pachetul CAEP, trebuie respectate o anumită precauție, deoarece acest program poate interfera cu activitatea componentelor destul de de încredere, inclusiv actualizările de sistem, deci trebuie doar să vă asigurați o copie de siguranță fiabilă a sistemului dvs.

Dacă nu luați în considerare problemele de mai sus, utilitarul de protecție împotriva cristalului anti-exploatare este un instrument extrem de interesant și puternic pentru a preveni intruziunea, cu care puteți forma un nivel suplimentar de protecție pentru orice PC. În plus, pachetul este atașat ghid detaliat, cu ajutorul utilizator avansat Va putea configura pe deplin programul pentru cerințele dvs., de exemplu, dezactivați avertismentele inutile. Citiți mai multe despre produs și

Nu a găsit un răspuns la întrebarea dvs.? Uita-te aici
Firmware pentru HTC One SV de la Flash DriveFirmware pentru HTC One SV de la Flash Drive
De ce se încălzește laptopul și ce să facă?De ce se încălzește laptopul și ce să facă?
Resetați la Factory Samsung Smartphone-uriResetați la Factory Samsung Smartphone-uri