Москва
+7-929-527-81-33
Вологда
+7-921-234-45-78
Вопрос юристу онлайн Юридическая компания ЛЕГАС Вконтакте

Защита от атак нулевого дня

  • Печать
Обновлено 11.07.2025 05:26

Обнаружение атак нулевого дня и защита от них часто используются новичками на рынке кибербезопасности как козырь, поскольку они любят наобещать получение фантастических результатов. Это не значит, что их решения не работают. Но можно нарваться и на шарлатанов. Будьте уверены, я не пытаюсь продать вам ничего, кроме практических рекомендаций, приведенных далее. 

1. Используйте передовой опыт. От атак нулевого дня, как и от безумия, сложно защититься, но это не означает, что нужно опустить руки. Пользуйтесь лучшими отраслевыми практиками. Полностью нейтрализовать такие атаки нельзя, но можно усложнить попытки злоумышленников напасть на вашу среду и дать организации больше шансов обнаружить атаку и отреагировать на нее. Вместо того чтобы праздно волноваться о возможных уязвимостях нулевого дня, исправьте и смягчите последствия более старых, известных атак и минимизируйте время, в течение которого ваша организация остается уязвимой для них.

2. Используйте команды охотников и «синие команды». Соберите или наймите команду охотников и «синюю команду» для работы над стратегиями защиты нулевого дня.

3. Команда охотников состоит из особых защитников, которые не полагаются на стандартную защиту на основе сигнатур. Вместо этого они постоянно делают предположения о том, как злоумышленники могут использовать уязвимости нулевого дня или другие методы проникновения в сети. Основываясь на этих предположениях, они охотятся на угрозы с помощью приманок, поведенческого и статистического анализа, прогнозирования угроз и других специальных методов.

«Синяя команда» состоит из особых защитников, которые проектируют, тестируют и реализуют настоящую защиту. Сначала они документируют информационный поток системы или сети, а затем создают модели угроз, описывающие реальные и воображаемые атаки, которые могут оказаться успешными против существующей схемы. В отличие от охотничьей команды, «синяя команда» не занимается отловом атак нулевого дня. Вместо этого она оценивает свои модели информации и угроз с точки зрения атаки нулевого дня, чтобы определить, как эффективно уменьшить ущерб, обезопасить, укрепить и защитить свои системы. «Синяя команда» действует отдельно от обычной службы безопасности, эксплуатации и реагирования на инциденты, но должна проверять имеющиеся отчеты по реагированию на инциденты, чтобы определить, где оборона была пробита и как построить более действенную защиту от подобных атак в будущем.

4. Реализуйте динамическую защиту… но аккуратно. В последние годы специалисты в области безопасности приложили немало усилий к внедрению сложных мер защиты, которые:

пытаются сделать сеть подвижной целью, например, с помощью ночных обновлений;

вводят рандомизацию, например, адресного пространства (address space layout randomization, ASLR);

динамически изменяют систему при взаимодействии — например, с помощью квантовой криптографии;

инициируют нечеткие защитные условия или иммунный ответ.

Некоторые из этих динамических мер защиты изначально были довольно успешными, но затем противники разработали способы их преодоления, превратив их в практически статические со стратегической точки зрения.

Поговорите со специалистами в области кибербезопасности и изучите литературу по современным средствам динамической защиты, чтобы определить, какие средства подойдут вашей организации. Однако действуйте осторожно, поскольку сегодняшняя динамическая защита завтра может стать стандартным уровнем безопасности, который легко обойти.

5. Создайте более скучную защиту. Подумайте об использовании скучных систем, методов кодирования и реализаций. Скучная защита, чье начало было положено проектом с открытым исходным кодом Google BoringSSL [12], предлагает упростить и уменьшить плоскость атаки, размер, зависимости и сложность вашего кода. Короче, система становится скучной, но, вероятно, это позволит устранить важные или критические уязвимости. В соответствии с этой практикой (которая может быть эффективной на уровне кода, приложения или системы) код не должен быть сложным или красивым, а скорее самым занудным образом защищен и неизменен по структуре, написан скучными и простыми реализациями. Теоретически упрощение кода для чтения людьми и машинами, а также тестирования и интерпретации снижает вероятность того, что неожиданные входные данные или события обнаружат уязвимость нулевого дня.

6. Практикуйте отрицание и обман (denial and deception, D&D). Концепция D&D предотвращает получение злоумышленниками информации о вашей среде, системах, сети, людях, данных и других наблюдаемых объектах и может обманом заставить их предпринять действия, которые вам выгодны. Поскольку злоумышленники усложняют разведку, вооружение и доставку эксплойтов, они вынуждены тратить больше времени на тестирование, изучение и проверку того, что дыра, которую они подозревают в вашей среде, действительно существует. Например, вы можете обманным путем модифицировать свои системы так, словно на них стоит другая ОС или ПО, допустим, изменив экземпляр Solaris, чтобы он выглядел как ОС SELinux (в идеале стоило бы и вовсе перейти на SELinux, но логистика устаревших ИT-систем может вынуждать вашу организацию полагаться на старое программное обеспечение дольше, чем хотелось бы). Если обман окажется эффективным, злоумышленники будут пытаться атаковать ваш экземпляр SELinux, а это не получится, потому что SELinux там и в помине нет.

Обратите внимание на то, что концепцию D&D следует применять не саму по себе, а как дополнение к передовым методам обеспечения безопасности, чтобы улучшить их. D&D — это эндшпиль в области безопасности для очень зрелых организаций, ищущих дополнительные способы защищать систему от злоумышленников, как описано в «Бансэнсюкай» [5].

7. Отключение во благо. В концепции защиты через отключения «Сёнинки» учит вас отключаться от врага мысленно, стратегически, физически и любым другим способом [7]. В сфере кибербезопасности это означает создание изолированной «синей команды», которая обращена внутрь себя, работает в отрыве от мира и игнорирует все новости в сфере безопасности, анализа угроз, исправлений, эксплойтов, новых вредоносных программ, сигнатур и ультрасовременных продуктов. Отключается все, что может повлиять на их разум, изменить их образ мыслей или обеспечить связь с врагом. При правильном применении навык отключения разворачивает мышление защитников в направлении, далеком от отраслевого стандарта. У противников возникают проблемы с тем, чтобы перенять такой способ мышления, а защитники разрабатывают уникальные секретные стратегии защиты, с которыми противник еще не сталкивался, что чрезвычайно затрудняет работу атак нулевого дня.

Как и D&D, этот метод рекомендуется использовать лишь в том случае, когда все остальные средства кибербезопасности уже задействованы. В противном случае отключение от врага и действия в темноте могут привести к обратным результатам.

 

 

 

 
Юридические услуги
Яндекс.Метрика
Представительство в суде и защита прав, досудебное урегулирование споров, медиация, абонентское сопровождение организаций, кадровое делопроизводство, трудовое право, восстановление на работе и выплата заработной платы, регистрация и ликвидация предприятий, земельные споры, споры связанные с недвижимостью, сопровождение сделок с недвижимостью, бесплатная юридическая консультация. Квалифицированный юрист Вологда. Квалифицированный адвокат Вологда. Квалифицированный юрист Москва. Квалифицированный адвокат Москва. Квалифицированный юрист Санкт-Петербург. Квалифицированный адвокат Санкт-Петербург. Суд по интеллектуальным правам. Европейский суд по правам человека. Апелляционная жалоба. Апелляционная жалоба в Московский городской суд. Апелляционная жалоба в Санкт-Петербургский городской суд. Санкт-Петербургский городской суд. Московский городской суд. Верховный суд. Кассационная жалоба. Кассационная жалоба в Верховный суд. Оценка перспектив обращения в Европейский суд по правам человека. Подготовка жалоб в Европейский суд по правам человека. ЕСПЧ. Оценка перспектив обращения в ЕСПЧ. Подготовка жалоб в ЕСПЧ. Жалоба ЕСПЧ. Жалоба в ЕСПЧ. Адвокат ЕСПЧ. Юрист ЕСПЧ. Адвокат Европейский суд по правам человека. Юрист Европейский суд по правам человека. Комитет ООН по правам человека. Подготовка жалоб в Комитет ООН по правам человека. Подготовка жалоб в Комитет ООН по правам человека. Оценка перспектив обращения в Комитет ООН по правам человека. Жалоба Комитет ООН по правам человека. Адвокат Комитет ООН по правам человека. Юрист Комитет ООН по правам человека. Арбитражный суд города Москвы. Арбитражный суд Московской области. Арбитражный суд города Санкт-Петербурга и Ленинградской области. Арбитражный суд Вологодской области. Девятый апелляционный арбитражный суд. Десятый апелляционный арбитражный суд. Тринадцатый апелляционный арбитражный суд. Четырнадцатый арбитражный апелляционный суд. Арбитражный суд Московского округа. Арбитражный суд Северо-Западного округа. Юрист Верховный Суд. Адвокат Верховный Суд. Юрист Верховный Суд Российской Федерации. Адвокат Верховный Суд Российской Федерации. Юрист Верховный Суд РФ. Адвокат Верховный Суд РФ. Юрист Вологодский областной суд. Адвокат Вологодский областной суд. Юрист Ленинградский областной суд. Адвокат Ленинградский областной суд. Юрист Сантк-Петербургский городской суд. Адвокат Санкт-Петербургский городской суд. Юрист Московский областной суд. Адвокат Московский областной суд. Юрист Московский городской суд. Адвокат Московский городской суд. Реновация Москва. Реновация в Москве. Юрист реновация Москва. Юрист реновация в Москве. Адвокат реновация Москва. Адвокат реновация в Москве.