1. 遇到0day的时候第一件事情是先评估0day对自身系统的影响,如果没有影响或者影响范围有限且在可以接受的范围内,完全没有必要启动应急响应流程(这部分评估需要根据漏洞利用的利用点、是否需要交互、是否会影响系统的CIA,是否有在野利用poc,影响资产是否暴露在公网等很多因素决定,详情可以参考CVSS)

2. 如果确定有影响的话且有poc,第一件事是先分析poc执行后会在什么地方留下痕迹,我们有什么样的设备去采集这些痕迹所留下的数据,比如说ntlm relay这种,可以考虑从Windows事件日志当中event_id等于4769的事件入手编写对应的规则,这样的话可以利用SIEM或者实时日志分析平台跑起来,可以建立起初步的感知防线,后期触发告警,人肉运营也可以快速止损

最后的最后,要明白一件事,自己的业务值不值得别人用0day打你,另外,没有公开的exp利用的门槛还是相当高的,如果要是团队里有大佬,可以让他们写临时补丁,但是一定是大佬,大哥都不行

这问题必须匿名答一波。

这问题问的非常无知,答的人答的也非常之水。因为没有太多好办法。

0day就意味著在一个非常小的圈子传播,不明细节,不知原理,除非撞洞。一旦你都知道有这么个东西了,一般就叫inthewild。

0day,一般只要出来些许细节,比如说哪个功能,哪个函数。那基本上地下的同学们很快就能复现出来。不,不,不是现在的人这么屌,是十年前的漏洞分析人员就已经这么屌了。如果你觉得这算「屌」的话。

「0day公布之日,即是消亡之时」,某大佬如是说道。

所有现在国内商业产品,不管是360的还是绿盟的启明的天融信的,我就不说其他厂商了,凡是说自己能检测0day的基本都是在扯淡。我说的能检测是「事中」的,包过来,你抓到立刻报警说「你正在被0day攻击」,没有,一个都没有。说有的都是骗人的。

当然也有些甲方脑子进水,逼著乙方问:「0day你怎么检测」,迫使甲方不得不编故事。别做这种傻逼甲方,我替整个行业谢谢你。

这位说了,沙箱不能么?沙箱能做到文件0day的检出,但不是事中,而且也看沙箱能力。fireeye能不能做到事中,我不知道我没测过,国内的,呵呵,都是做技术的,别扯淡好嘛。

国人不缺0day,国内能挖0day的强人很多,你能看到知道的都是那些喜欢晒自己漂亮羽毛的,希望拿著东西换名换利的,当然,个人选择,他们这么做没错,但还有很多人沉在地下,自娱自乐,挖出来换著马甲报给厂商的;拿在手里自己把玩的;为了跟伙伴炫耀吹牛逼的;深藏功名默默贡献给...,多了去了。

前几年某大家喜闻乐见觉得强悍无比的老外的洞,3年前国内就已经有人开始用了。有人知道么?有安全厂商发现么?

最后回归你的问题,怎么防御:

纵深防御,

纵深防御,

纵深防御。

建立完整的纵深防御体系。不要依赖于某一道防线。

帖子得罪人太多,果断匿了。

先拔网线[手动滑稽]

视系统重要性

A.硬碟刻录备份 B.重装系统

接下来就是时候展现真正的技术了

发给我,赚的钱五五开(滑稽)

封埠 封协议 无法修复 停业务

90

推荐阅读:
相关文章