Πώς ελέγχετε τα προγράμματα χρησιμότητας που ενδέχεται να είναι ικανά να υπερισχύουν των ελέγχων συστήματος και εφαρμογών;

Ο έλεγχος των προγραμμάτων χρησιμότητας που είναι ικανά να υπερισχύουν των ελέγχων συστήματος και εφαρμογών, απαιτεί μια προσέγγιση πολλαπλών στρωμάτων που επικεντρώνεται στην πρόληψη, την ανίχνευση και την ανταπόκριση. Δεν υπάρχει ενιαία ασημένια σφαίρα, καθώς η δυνατότητα αντικατάστασης εξαρτάται σε μεγάλο βαθμό από τη συγκεκριμένη χρησιμότητα και το λειτουργικό σύστημα. Ακολουθεί μια κατανομή στρατηγικών:

1. Πρόληψη:

* Αρχή του ελάχιστου προνομίου: Εκτελέστε όλα τα προγράμματα, συμπεριλαμβανομένων των επιχειρήσεων κοινής ωφέλειας, με τα ελάχιστα απαραίτητα προνόμια. Αποφύγετε τη λειτουργία των επιχειρήσεων κοινής ωφέλειας ως διαχειριστή/root εκτός αν απαιτείται απολύτως. Αυτό περιορίζει σημαντικά τη ζημιά που θα μπορούσε να προκαλέσει συμβιβασμένη χρησιμότητα. Χρησιμοποιήστε εργαλεία όπως `sudo` υπεύθυνα και με την κατάλληλη καταγραφή.

* Περιορισμός πρόσβασης: Ελέγξτε ποιοι χρήστες έχουν πρόσβαση σε ισχυρές επιχειρήσεις κοινής ωφέλειας. Αυτό συχνά περιλαμβάνει τη χρήση λιστών ελέγχου πρόσβασης (ACL) στο λειτουργικό σύστημα. Μόνο το εξουσιοδοτημένο προσωπικό θα πρέπει να είναι σε θέση να εκτελέσει αυτά τα προγράμματα.

* Εφαρμογή Whitelisting: Αντί για τη μαύρη λίστα (μπλοκάρισμα συγκεκριμένων προγραμμάτων), η Whitelisting επιτρέπει μόνο στην εκτέλεση γνωστών ασφαλών εφαρμογών. Αυτό αποτρέπει την εκτέλεση άγνωστων ή δυνητικά κακόβουλων επιχειρήσεων. Πολλές λύσεις προστασίας τελικού σημείου προσφέρουν αυτή τη λειτουργικότητα.

* Πολιτικές περιορισμού λογισμικού (SRP): Αυτές οι πολιτικές, που διατίθενται στα Windows, επιτρέπουν στους διαχειριστές να ορίζουν κανόνες σχετικά με το ποιο λογισμικό μπορεί να εκτελεστεί, με βάση τις διαδρομές αρχείων, τους εκδότες ή άλλα κριτήρια.

* apparmor/selinux (Linux): Αυτές οι ενότητες ασφαλείας παρέχουν υποχρεωτικό έλεγχο πρόσβασης (MAC) για να περιορίσουν την πρόσβαση των προγραμμάτων σε πόρους του συστήματος. Επιβάλλουν αυστηρούς κανόνες σχετικά με το τι μπορεί να κάνει ένα πρόγραμμα, ακόμη και αν τρέχει με αυξημένα προνόμια.

* Ασφαλής εκκίνηση: Αυτό εμποδίζει τη φόρτωση του μη εξουσιοδοτημένου λογισμικού κατά τη διάρκεια της διαδικασίας εκκίνησης, μειώνοντας τον κίνδυνο των ριζοσπαστών ή των κακόβουλων επιχειρήσεων κοινής ωφέλειας που παίρνουν τον έλεγχο νωρίς.

* Τακτικές ενημερώσεις: Κρατήστε το λειτουργικό σας σύστημα και όλα τα βοηθητικά προγράμματα ενημερώνεται με τα τελευταία μπαλώματα ασφαλείας. Αυτά τα μπαλώματα συχνά αντιμετωπίζουν τα τρωτά σημεία που θα μπορούσαν να εκμεταλλευτούν για να παρακάμψουν τους ελέγχους του συστήματος.

* περιβάλλοντα sandbox: Εκτελέστε δυνητικά επικίνδυνες επιχειρήσεις κοινής ωφέλειας μέσα σε ένα εικονικό μηχάνημα ή περιβάλλον sandboxed. Εάν η χρησιμότητα συμπεριφέρεται απροσδόκητα, η ζημιά περιέχεται στο απομονωμένο περιβάλλον.

* Επικύρωση εισόδου: Εάν ένα βοηθητικό πρόγραμμα λαμβάνει την είσοδο του χρήστη, την επικυρώστε αυστηρά για να αποφευχθεί επιθέσεις έγχυσης (π.χ. έγχυση εντολών).

2. Ανίχνευση:

* Έλεγχος/καταγραφή συστήματος: Ενεργοποιήστε τον ολοκληρωμένο έλεγχο και καταγραφή για την παρακολούθηση όλων των συμβάντων συστήματος, συμπεριλαμβανομένης της εκτέλεσης των επιχειρήσεων κοινής ωφέλειας και των αλλαγών στις διαμορφώσεις του συστήματος. Ελέγξτε τακτικά αυτά τα αρχεία καταγραφής για ύποπτη δραστηριότητα. Ο θεατής προβολής συμβάντων των Windows και το «syslog» του Linux είναι παραδείγματα.

* Συστήματα ανίχνευσης/πρόληψης εισβολής (IDS/IPS): Αυτά τα συστήματα παρακολουθούν την κυκλοφορία δικτύου και τη δραστηριότητα του συστήματος για κακόβουλη συμπεριφορά, συμπεριλαμβανομένων των προσπαθειών για την αντικατάσταση των ελέγχων του συστήματος.

* Πληροφορίες ασφαλείας και διαχείριση συμβάντων (SIEM): Τα συστήματα SIEM συλλέγουν και αναλύουν τα αρχεία καταγραφής ασφαλείας από πολλαπλές πηγές, παρέχοντας μια κεντρική άποψη των γεγονότων ασφαλείας. Μπορούν να ανιχνεύσουν μοτίβα ενδεικτικά της κακόβουλης δραστηριότητας.

* Λογισμικό Antivirus/Antimalware: Διατηρήστε το ενημερωμένο λογισμικό Antivirus και Antimalware που είναι εγκατεστημένο για να ανιχνεύσετε και να αφαιρέσετε κακόβουλα βοηθητικά προγράμματα.

3. Απάντηση:

* Σχέδιο απόκρισης περιστατικών: Έχετε ένα σαφώς καθορισμένο σχέδιο απόκρισης περιστατικών για την αντιμετώπιση καταστάσεων όπου οι έλεγχοι του συστήματος έχουν αντικατασταθεί. Το σχέδιο αυτό θα πρέπει να περιγράφει τις διαδικασίες για τη συγκράτηση, την εξάλειψη, την ανάκαμψη και τη δραστηριότητα μετά την ενότητα.

* Μηχανισμοί rollback/recovery: Τα τακτικά αντίγραφα ασφαλείας είναι κρίσιμα. Εάν μια χρησιμότητα προκαλεί ζημιά, μπορείτε να επαναφέρετε το σύστημα σε προηγούμενη κατάσταση εργασίας.

* Ιατροδικαστική: Εάν συμβεί ένα περιστατικό ασφαλείας, διεξάγετε μια εγκληματολογική έρευνα για να προσδιορίσετε τη βασική αιτία, την έκταση της βλάβης και να αποτρέψετε τα μελλοντικά περιστατικά.

Παράδειγμα:Ελέγχοντας ένα βοηθητικό πρόγραμμα με δυνητικά επικίνδυνες δυνατότητες (π.χ. εργαλείο διαχωρισμού δίσκου)

Ένα εργαλείο διαχωρισμού δίσκου, εάν χρησιμοποιείται κατάχρηση, μπορεί εύκολα να σκουπίσει δεδομένα ή να καταστήσει ένα σύστημα μη ενισχυτικό. Για να το ελέγξετε:

* Εκτελέστε το ως μη προνομιούχο χρήστη: Επιτρέψτε μόνο σε έναν περιορισμένο λογαριασμό χρήστη να έχει πρόσβαση στο βοηθητικό πρόγραμμα.

* Επαληθεύστε διεξοδικά όλες τις εισόδους: Ελέγξτε όλες τις παραμέτρους πριν από την εκτέλεση εντολών.

* Χρησιμοποιήστε ένα αντίγραφο ασφαλείας: Δημιουργήστε ένα πλήρες αντίγραφο ασφαλείας πριν εκτελέσετε το βοηθητικό πρόγραμμα.

* καταγράψτε όλες τις λειτουργίες: Ενεργοποιήστε τη σύνδεση εντός της ίδιας της χρησιμότητας, ει δυνατόν και παρακολούθηση των καταγραφής συστήματος για οποιαδήποτε ασυνήθιστη δραστηριότητα.

Συνδυάζοντας προληπτικά μέτρα, ισχυρά συστήματα ανίχνευσης και ένα ολοκληρωμένο σχέδιο ανταπόκρισης, μειώνετε σημαντικά τον κίνδυνο που σχετίζεται με ισχυρά προγράμματα χρησιμότητας. Θυμηθείτε ότι η ασφάλεια είναι μια συνεχής διαδικασία, που απαιτεί συνεχή επαγρύπνηση και προσαρμογή.