1. 遇到0day的時候第一件事情是先評估0day對自身系統的影響,如果沒有影響或者影響範圍有限且在可以接受的範圍內,完全沒有必要啟動應急響應流程(這部分評估需要根據漏洞利用的利用點、是否需要交互、是否會影響系統的CIA,是否有在野利用poc,影響資產是否暴露在公網等很多因素決定,詳情可以參考CVSS)

2. 如果確定有影響的話且有poc,第一件事是先分析poc執行後會在什麼地方留下痕迹,我們有什麼樣的設備去採集這些痕迹所留下的數據,比如說ntlm relay這種,可以考慮從Windows事件日誌當中event_id等於4769的事件入手編寫對應的規則,這樣的話可以利用SIEM或者實時日誌分析平台跑起來,可以建立起初步的感知防線,後期觸發告警,人肉運營也可以快速止損

最後的最後,要明白一件事,自己的業務值不值得別人用0day打你,另外,沒有公開的exp利用的門檻還是相當高的,如果要是團隊里有大佬,可以讓他們寫臨時補丁,但是一定是大佬,大哥都不行

這問題必須匿名答一波。

這問題問的非常無知,答的人答的也非常之水。因為沒有太多好辦法。

0day就意味著在一個非常小的圈子傳播,不明細節,不知原理,除非撞洞。一旦你都知道有這麼個東西了,一般就叫inthewild。

0day,一般只要出來些許細節,比如說哪個功能,哪個函數。那基本上地下的同學們很快就能復現出來。不,不,不是現在的人這麼屌,是十年前的漏洞分析人員就已經這麼屌了。如果你覺得這算「屌」的話。

「0day公布之日,即是消亡之時」,某大佬如是說道。

所有現在國內商業產品,不管是360的還是綠盟的啟明的天融信的,我就不說其他廠商了,凡是說自己能檢測0day的基本都是在扯淡。我說的能檢測是「事中」的,包過來,你抓到立刻報警說「你正在被0day攻擊」,沒有,一個都沒有。說有的都是騙人的。

當然也有些甲方腦子進水,逼著乙方問:「0day你怎麼檢測」,迫使甲方不得不編故事。別做這種傻逼甲方,我替整個行業謝謝你。

這位說了,沙箱不能么?沙箱能做到文件0day的檢出,但不是事中,而且也看沙箱能力。fireeye能不能做到事中,我不知道我沒測過,國內的,呵呵,都是做技術的,別扯淡好嘛。

國人不缺0day,國內能挖0day的強人很多,你能看到知道的都是那些喜歡曬自己漂亮羽毛的,希望拿著東西換名換利的,當然,個人選擇,他們這麼做沒錯,但還有很多人沉在地下,自娛自樂,挖出來換著馬甲報給廠商的;拿在手裡自己把玩的;為了跟夥伴炫耀吹牛逼的;深藏功名默默貢獻給...,多了去了。

前幾年某大家喜聞樂見覺得強悍無比的老外的洞,3年前國內就已經有人開始用了。有人知道么?有安全廠商發現么?

最後回歸你的問題,怎麼防禦:

縱深防禦,

縱深防禦,

縱深防禦。

建立完整的縱深防禦體系。不要依賴於某一道防線。

帖子得罪人太多,果斷匿了。

先拔網線[手動滑稽]

視系統重要性

A.硬碟刻錄備份 B.重裝系統

接下來就是時候展現真正的技術了

發給我,賺的錢五五開(滑稽)

封埠 封協議 無法修復 停業務

90

推薦閱讀:
相关文章