ddos清洗_创云盾_方法

ddos清洗_创云盾_方法

漏洞披露是确保系统安全的重要过程。如果披露本身也易受攻击,该怎么办?

漏洞披露是将操作系统、应用程序、固件和业务流程中的缺陷信息带入公共领域的过程。其目的是确保产品供应商修复缺陷,而用户可以在这些缺陷被坏人发现和利用之前缓解缺陷。

这些漏洞通常由专门寻找它们的安全研究人员发现。由于网络罪犯和敌对民族国家也在寻找他们,而且无法知道他们是否也找到了他们,linux服务器防御ddos,因此,一旦发现他们,在他们被利用之前,就必须对他们进行修复。好人披露漏洞是这一过程的重要组成部分。

我们需要了解三个术语:漏洞(代码中的缺陷或bug);漏洞利用(用于操纵漏洞的方法);和修补(由供应商修复漏洞并由用户实施修复)。

了解零天(0-days)的概念非常有用。潜在攻击者已知0天漏洞,但供应商尚未知道,因此尚未修复。因此,理论上不存在针对0天漏洞开发的0天攻击的防御。

从技术上讲,该术语适用于发现和修复之间的时间段。这是一个可变的时间,取决于供应商修复问题所需的时间。然而,实际上,在用户的计算机上实施供应商的修复之前,该漏洞对个人而言仍然是一个0天的漏洞。

这一描述的一个复杂之处——也是这篇博客文章的一个重要概念——是一个只有坏人才知道并为其保密的漏洞。它已被发现,因此从技术上讲,它是一个0天漏洞。但公众并不知道这一点。它实际上并不存在——但确实存在。这些是臭名昭著的安全"未知未知因素",犯罪分子可以随时利用它们。

漏洞披露是确保我们产品安全的重要过程。安全研究人员发现缺陷,向供应商报告,然后由供应商修复。这就是理论。当它工作时,它工作得很好;但这并不总是有效。

研究人员有两种基本的方法来揭示脆弱性,以术语"完全披露"和"负责任的披露"为特征。

完全披露的概念意味着立即全面公布所发现漏洞的所有细节,可能包括利用漏洞来证明漏洞。这一原则的追随者认为,这是确保供应商尽快修复问题的唯一途径。

修复代码缺陷对供应商来说可能是一项耗时且昂贵的工作,并且承认他们销售的软件存在缺陷可能会损害其声誉。从历史上看,ddos防御典型事件,许多公司都认为,知道弱点的人越少,他们的产品就越安全(当然,这也为他们节省了时间、金钱和声誉)。因此,他们什么也不做,或者做得很慢。

然而,研究人员意识到,如果他们能找到缺陷,其他人也能找到。这个缺陷总是有可能是未知的未知因素之一,随时都可能被利用——可能是大规模利用。唯一的解决办法是供应商尽快解决问题,一些研究人员认为完全披露是确保这一点的最佳方式。

这一论点的弱点是,完全披露也会让坏人知道缺陷。完整的漏洞披露通常会退化为供应商和坏人之间的竞争——一个是修复漏洞,另一个是利用漏洞。

负责任的披露是几乎所有供应商和安全公司首选的途径。在其原始形式中,这只是单独向供应商公开漏洞,在漏洞被修复之前(如果有的话)不会公开披露。在大多数情况下,研究人员会应用时间限制。如果该漏洞在一定时间内未修复,则会公开披露。实际上,负责任的披露是供应商想要的(不公开披露)和完全披露之间的折衷。Bug赏金计划已经出现,供应商提供的程序可以吸引研究人员负责任地披露Bug,以换取补偿和认可。这些项目有些争议,值得在未来进一步讨论。

谷歌的Project Zero研究团队目前正在试验轻微的变化。漏洞被私下披露给供应商,在公开披露之前,供应商有90天的时间修复问题。然而,现在,无论供应商修复漏洞的速度有多快,在90天后才会公开披露。这是为了帮助缓解"补丁问题";另一个问题对0天漏洞有很大影响。

披露理论是研究人员发现并披露漏洞(在这个阶段,最有可能是0天漏洞);供应商修复漏洞并更新其产品;以及用户更新(修补)已安装的产品。问题在于,用户不善于更新其已安装的产品。在他们这么做之前,对他们来说,该漏洞不仅仅是一个0天漏洞,现在是一个罪犯已知的0天漏洞。这是一个重大的网络安全问题。

2017年的Equifax黑客攻击是通过一个安全漏洞实施的,该漏洞在入侵发生前两个月就已被披露并修补过——但Equifax未能在其所有服务器上实施该补丁。

甚至臭名昭著的WannaCry和NotPetya全球勒索软件爆发都是通过一个漏洞实现的微软已经解决了这个问题。在这种情况下,防御cc节点,勒索软件使用一种称为"永恒蓝"的漏洞在世界各地迅速传播。"永恒蓝"是美国国家安全局为自己使用而持有的几个"秘密"漏洞之一。它被一个叫做"影子经纪人"的黑客组织偷走并公之于众,此后,cc防御设,不同的罪犯和不同的恶意软件经常使用它。虽然从技术上讲,从微软修复它的那一刻起,它就不再是一个0天漏洞,对于所有未实施永久蓝色修复的用户来说,这实际上是一个0天。

世界情报机构出于自身攻击和防御目的秘密存储的0天漏洞是披露理论的进一步复杂化。

热门推荐
  • 高防cdn_服务器安全防护专家年薪_解决方

      致护士:ATT向您致敬!对于你现在为应对流感大流行所做的一切以及你一直以来为你所照顾的人所做的一切:......

    11-25    来源:长虹华伟

    分享
  • 服务器防御_域名接入防ddos_

      在我参加各种分组会议、主题演讲以及与Navigate 17位与会者交谈时,如果我明白了什么,那就是身份管理——正确地完成身份......

    09-30    来源:长虹华伟

    分享
  • 防cc_怎么防cc_优惠券

      总部位于日本东京的Almex运营着日本快乐酒店(Japanese Happy Hotels),该公司宣布遭到黑客攻击,包括电子邮件地址、出生日期......

    10-26    来源:长虹华伟

    分享
  • 高防IP_防cc攻击脚本_怎么防

      简介:随着加密货币的使用在过去几年里呈指数级增长,作为一个感兴趣的话题和一个活跃的话题,加密货币的开采也在增加......

    08-03    来源:长虹华伟

    分享
  • 国内高防cdn_高防云服务器价格_方法

      网络安全面临的最大挑战之一是,专门的威胁需要专门的解决方案。很少有安全策略足够全面,使网络安全既简单又有效。......

    06-11    来源:长虹华伟

    分享
  • 防御ddos_福州高防_无限

      根据(ISC)2和FrostSullivan以及Booz Allen Hamilton),而不是SecurityStuff Inc.的市场总监。其次,样本人数众多:12000名信息安全专业......

    06-05    来源:长虹华伟

    分享
  • 高防cdn_服务器防护软件_快速接入

      Cedexis将于下周(6月12日至14日)在伦敦举行的TechXLR8,CloudDevOps World将汇集业界领先的技术专家和创新者,共同讨论云创新、......

    02-07    来源:长虹华伟

    分享
  • cdn防御cc_香港高防服务器团队科森网络

      对2013年的黑帽子来说,这是一个多么美好的一周啊,在拉斯维加斯,安保人员在拉斯维加斯和DEFCON 21同时亮相!在Black Hat,......

    03-18    来源:长虹华伟

    分享
  • 抗ddos_美国高防vps_零误杀

      今天的想法很简单:不是所有打扰你的应用程序都是病毒。并不是所有人都非法潜入。 其中一些可能是在你同意的情况下安......

    03-02    来源:长虹华伟

    分享
  • 阿里云高防ip_海外高防服务器租用_免费试

      ThreatStream发布了Kippo(流行的SSH蜜罐)的修补程序和MHN的部署脚本,以支持Kippo蜜罐的快速部署,这些蜜罐模仿Netscreen设备的......

    11-25    来源:长虹华伟

    分享
返回列表
Ctrl+D 将本页面保存为书签,全面了解最新资讯,方便快捷。