Превентивная защита: обзор Dr.Web Security Space v.10

(все те, кто использует клиент Norton для Windows версии 22.5.4 и выше) получат ключевые преимущества от внедрения новой технологии защиты под названием Превентивная Защита от Эксплойтов (Proactive Exploit Protection, PEP), которая предназначена для расширенной защиты устройств Windows от так называемых “атак нулевого дня”.

Атаки нулевого дня - виды атак, который пытаются эксплуатировать неизвестные и неисправленные уязвимости в приложениях Windows или в самой операционной системе. PEP включает три мощные техники защиты, которые остановят несколько видов распространенных атак нулевого дня.

Эффективная защита от мира ‘zero-day’ угроз

Очень часто исследователи безопасности или добропорядочные хакеры обнаруживают уязвимость в программном обеспечении, которое они изучают. Очень часто они оповещают разработчика об обнаруженной ошибке и помогают создавать патч, который устраняет найденную уязвимость. Если, тем не менее, уязвимость впервые обнаружена киберпреступниками, они могут написать вредоносный код, которые будет эксплуатировать уязвимость в надежде получить несанкционированный доступ к устройствам, в которых запущено уязвимое ПО.

За последние несколько лет специалисты Symantec обнаружили существенное увеличение количество эксплойтов нулевого дня, которые используются в Интернет-атаках. Существует большое количество факторов, из-за которых наблюдается данный скачок, но среди исследователей принято считать, что данная картина сложилась из-за роста уровня кооперации и профессионализма в среде хакеров, которые стремятся эксплуатировать уязвимости для получения прибыли.

Количество уязвимостей нулевого дня

Источник: Доклад ISTR об Интернет угрозах, Symantec 2015

Сколько времени требуется для выявления уязвимостей?

Исследования Symantec показывают, что для пяти самых распространенных в 2014 году атак вендорам понадобилось в среднем 59 дней, чтобы выпустить патч для пользователей. Эта цифра не включает время, когда уязвимости оставались неизвестными (обычно от нескольких месяцев до нескольких лет) и дополнительное время, которое требуется пользователям чтобы установить обновления безопасности.

Среднее время для устранения 5 уязвимостей нулевого дня в 2014 году - 59 дней.

Как может PEP защитить от атак нулевого дня?

Технология Превентивной Защиты от Эксплойтов от Norton позволяет обнаруживать широкий спектр шаблонов вредоносного поведения, которые являются главными признаками угроз нулевого дня и блокирует только те программы, которые выполняют подозрительную активность. Одним из ключевых аспектов данного подхода заключается в предоставление защиты от уязвимого ПО в момент его развертывания, а не во время обнаружения или эксплуатирования дыры в безопасности. Это очень важно, потому что большинство зловредов нулевого дня нацелены на уязвимости, которые существовали месяцами и в некоторых случаях, когда еще не были публично обнаружены.

Как может PEP улучшить защиту в реальных условиях?

Давайте приведем пример недавней атаки нулевого дня под названием “Operation Pawn Storm”, которая распространилась в 2015 году и была нацелена на эксплуатирование критической уязвимости в популярной программной среде Java.

Чтобы достичь своей цели атака Operation Pawn Storm эксплуатировала уязвимость в Java для отключения компонента, известного как Менеджер Безопасности Java (Java Security Manager). В то время как пользователи Norton относительно быстро оказались защищенными от данной угрозы, остальные пользователи, которые использовали Java должны были подождать еще пару дней до тех пор, пока компания Oracle не пропатчила Java от Operation Pawn Storm. К сожалению, многие пользователи Java оставались незащищенными в течение месяцев после обнаружения опасности из-за проблем с установкой программных обновлений.

Технология PEP по защите Java предназначена не только для устранения каких-либо задержек в защите, но также обеспечивает полноценную защиту от эксплуатирования уязвимостей Java атаками нулевого дня, которые пытаются отключить Java Security Manager, независимо от того какие типы уязвимостей будут обнаруживаться киберпреступниками в будущем.

Heap Spray и обработчики структурных исключений

Кроме Java атак, за последние два года авторы вредоносного ПО концентрировались также на еще двух категориях атак. Термин Heap spraying относится к атакам, которые пытаются внедрить вредоносный код в предопределенные участки памяти в надежде, что он будет исполнен с помощью уязвимого приложения (обычно веб-браузер или плагины для браузера). Соответственно PEP включает модуль предотвращения Heap spraying, который по сути заранее заполняет определенные ячейки памяти доброкачественных кодом, эффективно блокируя подобные виды атак.

PEP включает также уникальную технологию под названием Structured Exception Handler Overwrite Protection (SEHOP, защита от перезаписи обработчика структурных исключений). Как следует из названия PEP будет предотвращать попытки перезапись вредоносным кодом специальных процедур системы Windows под названием обработчики структурных исключений, которые разработаны для того, чтобы сообщать машине Windows, что нужно делать в случае исключения (или неожиданного события), которое возникает при запуске приложения. Исключение может быть вызвано большим количеством нерегулярных вхождений, например, попытки деления на ноль или попытки доступа по недействительному адресу в памяти. Windows поддерживает уникальный набор обработчиков в каждой категории. К сожалению, предприимчивые киберпреступники обнаружили несколько способов взлома механизма обработки исключений, используя три шага:

1. Запись вредоносного кода в ячейку памяти
2. Перезапись процедуры структурного обработчика исключений для конкретного исключения (например, нарушение прав доступа), чтобы он указывал на вредоносный код
3. Вызов соответствующего исключения таким образом, чтобы Windows обращался к перезаписанной процедуре обработчика исключений для исполнения вредоносного кода

Таким образом, злоумышленники могут получить полный удаленный контроль над устройством, а от пользователя только требуется посетить взломанный или вредоносный веб-сайт. Стратегия защиты PEP очень проста: мониторинг и предотвращение попыток перезаписи обработчика структурных исключений со стороны приложений. Благодаря данному методу, PEP позволяет защитить компьютер от большого количества угроз нулевого дня, применяющих данный подход.

Обещания эффективности Proactive Exploit Protection

PEP является надежной новой технологией защиты, которая обеспечивает ключевые преимущества для клиентов Norton, позволяя им получить моментальную превентивную защиту за счет виртуального исправления уязвимостей еще до того, как они будут обнаружены. Лежащие в основе технологии методы поведенческого анализа остаются высокоэффективными, несмотря на отсутствие необходимости в обновлениях сигнатурных определений. В мире, когда уязвимости остаются неизвестными и не пропатченным на протяжении месяцев и даже лет, а атаки нулевого дня постоянно развиваются, PEP является важным уровнем защиты, который будет иметь значительный положительный эффект на цифровую жизнь пользователей решений Norton.

Соблюдая элементарные меры информационной безопасности, можно максимально сократить риск взлома сайта.

ПРОГРАММИРОВАНИЕ САЙТА, РАБОТА С ФАЙЛОВОЙ СИСТЕМОЙ И БАЗАМИ ДАННЫХ

• Регулярно обновлять операционную систему сервера, а также серверное программное обеспечение.
• Проверить корректность настоек сервера.
• Не использовать в разработке сайтов CMS, модули, плагины и скрипты сомнительного происхождения.
  Все программные разработки используемые на сайте должны быть официальными.
  Регулярно обновлять CMS, модули и плагины, используемые в разработке.
• Использовать протокол SFTP (SSH) вместо FTP для работы над сайтом. При возможности, закрыть 21 порт.
• Не следует хранить учетные данные доступа к серверу(пары логин/пароль) в программах - FTP менеджерах. Ни кому и не при каких условиях не сообщать эти данные. Регулярно менять их.
• Проверить корректность публикации сайта на сервере. Системные, конфигурационные и тестовые файлы, архивы с бэкапами сайта не должны быть в открытом доступе.
• Правильно установить права доступа к директориям, скриптам, конфигурационным файлам.
• Отключить листинг директорий.
• Ограничить доступ к системным директориям.
• При работе с базами данных сайта, правильно разграничить уровни доступа.
• Отключить вывод ошибок сервера, PHP, SQL и т.п.
• 
  

РАБОТА С АДМИНИСТРАТИВНЫМ РАЗДЕЛОМ САЙТА

• Не следует хранить учетные данные доступа к административному разделу (пары логин/пароль), в почте, на ПК к которому возможен доступ третьих лиц. Ни кому, и не при каких условиях не сообщать эти данные. Регулярно менять их.
• Использовать сложные пароли и нестандартные логины. Пара admin/parol или boss / 123qwerty и т.п. будет моментально подобрана злоумышленником.
• Для работы над сайтом использовать ПК только с лицензионным программным обеспечением. Никогда не использовать самодельные сборки операционных систем, офисных программ и графических пакетов.
  На компьютере не должно быть программ, скачанных из интернета, торрентов и.т.п. Не использовать другие, особенно чужие компьютеры для работы.
• ПК с которого осуществляются работы над сайтом, должен регулярно проходить антивирусные тесты.
  Не следует посещать с этого компьютера сайты с сомнительным содержанием, которые могут быть заражены вирусами, не пользоваться соцсетями.
  На ПК, предназначенным для работ над сайтом следует быть внимательным при работе с электронной почтой.
• При возможности привязать доступ к административной панели сайта к своим IP адресам.

«Превентивная защита» — это комплекс мер, направленных на предотвращение взлома и заражения сайта. За счет перенастройки сайта и параметров аккаунта хостинга мы гарантируем защиту сайта от веб-атак и взлома через уязвимости. «Цементирование» сайта защищает файлы от вирусов и внедрения хакерских скриптов. А «проактивная защита» блокирует опасные атаки на сайт и закрывает уязвимости без обновления CMS.

Услуга «Превентивная защита» — это

Кликните по нужному пункту для получения подробной информации.

Сайт подключается к системе мониторинга и проактивной защиты от компании «Ревизиум». Данная система выполняет отслеживание и блокирование опасных обращений к сайту со стороны хакеров и ботов, а также выполняет расширенное логирование запросов для последующего аудита сайта при инцидентах безопасности.

После завершения работ по лечению и защите сайта мы предоставляем подробный отчет о выполненных работах: внесенные изменения в настройки сайта и хостинга, а также рекомендации по безопасной работе с сайтом в будущем.
Также предоставляется доступ к справочной странице, содержащей детальное описание работы с защищенным сайтом (как отключать и включать защиту, как менять пароль и пр.).

Установка защиты от взлома выполняется в течение 48 часов с момента получения доступов к хостингу и подтверждения оплаты. А иногда — в тот же день.

Стоимость услуги: 2400 или 2900 за лечение и защиту 1 сайта (1 CMS).

Оплата разовая. Цена зависит от CMS (системы управления сайтом), на которой работает сайт, и типа сайта (интернет-магазин или информационный сайт), стоимость фиксированная и согласовывается до начала работ.

Возможен безналичный расчет, с карт Visa/Mastercard или оплата на электронные деньги (Яндекс.Деньги, QIWI).1. Обеспечиваем безопасное окружение сайтам: «отсутствие соседей»

Обращаем ваше внимание, что необходимо обеспечить отсутствие других сайтов на аккаунте хостинга, кроме тех, для которых будут проводиться работы. В противном случае непроверенные и незащищенные сайты могут угрожать безопасности защищенных. Данное требование касается хостингов, где нет технической изоляции сайтов друг от друга внутри одного аккаунта. Данный вопрос можно уточнить в технической поддержке хостинга.

Что такое техническая изоляция сайтов друг от друга?
Это отсутствие возможности скриптами одного сайта вносить изменения в файлы другого сайта. То есть через один сайт нельзя взломать другой. При отсутствии технической изоляции есть большая вероятность массового взлома сайтов внутри аккаунта или повторного взлома вылеченного сайта через соседние незащищеные сайты, находящиеся на том же аккаунте.

2. Готовим доступы к хостингу и сайту

Для установки защиты нам потребуются доступы в панель управления хостингом (техническую панель), доступы по SSH и доступы в административную панель сайтов.

Большая часть работы выполняется нашими специалистами по SSH (в режиме командной строки), поэтому FTP доступов обычно не достаточно. Но если ваш хостинг не предоставляет доступ по SSH, вам необходимо предоставить доступы в панель управления хостингом.

FTP-доступ — это хост, имя пользователя и пароль. Позволяет работать с файлами сайта через специальную программу - файловый менеджер.
SSH-доступ — это хост, порт, имя пользователя и пароль. Позволяет выполнять команды, производить настройку параметров аккаунта хостинга и работать с файлами сайта.
Техническая панель — панель хостинга, где можно создать или посмотреть доступы от FTP/SSH.
Биллинг панель — панель хостинга, где есть доступ к системе тикетов и происходит управление балансом хостинга.
Админ-панель сайта — это адрес страницы, логин и пароль от CMS. Панель, где вы обновляете содержимое сайта (тексты, фото, документы).