Легенда:
новое сообщение
закрытая нитка
новое сообщение
в закрытой нитке
старое сообщение
|
- Напоминаю, что масса вопросов по функционированию форума снимается после прочтения его описания.
- Новичкам также крайне полезно ознакомиться с данным документом.
Мы пришли к мнению, что целесообразней снизить риск атаки... 08.08.08 16:00 Число просмотров: 2552
Автор: Den <Denis> Статус: The Elderman Отредактировано 08.08.08 16:05 Количество правок: 2
|
> Мы вроде пришли к мнению, что системные уязвимости > необходимо закрывать системными патчами :) > Если есть канал доставки решения - то исправление > целесообразней, чем латание :)
Мы пришли к мнению, что целесообразней снизить риск атаки непропатченных систем путем обновления АВ. :)
> Эксполита еще нет. Есть инфа у разработчика об уязвимости. > Эту инфу он передает АВ разработчикам. На сигнатуры > накладывается эта инфа. Инфа всегда отражается :) Те по > анализу сигнатур, можно найти инфу об уязвимости, причем ее > может быть достаточно для написания эксполита. При этом > эксполиты также могут появиться до появления обновления.
:) Когда обнаруживается уязвимость, то специалиты по информационной безопасности, которые ее обнаружили, первым делом создают эксплойт и проверяют его действие в "песочницах". Затем, вся информация по уязвимости и рабочий эксплойт передается разработчику ПО, который затем создает патч (в конкретном случае - Microsoft). Так как у пользователей АВ обновляются быстрее, чем ОС, то ИМХО, очень логичным кажется шаг Microsoft по передачи всей информации об уязвимости в АВ лаборатории до момента выхода официального патча, чтобы АВ лаборатории успели включить сигнатуры атаки на уязвимость в ежедневные обновления своих АВ и снизить риски атак на уязвимые системы. Таким образом, после выхода ежедневного обновления АВ, уже нет смысла анализировать сигнатуры.
> Безопасность АВ и безопасность системы идут последовательно > и надежности одной из них достаточно (в рассматриваемом > случае с системными уязвимостями и одинаковым системным > окружением/ограничениями), поэтому не важно кто из них > первый отреагирует на появившуюся угрозу, лишь бы эта > реакции была быстрее хакерской. А реакцию (доставку > решения) может (если захочет :) ) обеспечить любая из > систем безопасности. Только МС не хочет делегировать > доставку сових решений и закрывает свои дыры более > оперативными решениями АВ :)
1. Так как исходный код ОС Windows является закрытым, то "коммунити" в большенстве случаев не может создать патч для устранения уязвимости быстрее Microsoft.
2. Распространение патчей из разных источников еще больше затягивает процесс "латания дыр" на огромном количестве систем не только в корпоративном сегменте, но и в сегменте домашних пользователей, а подобное распространение может очень сильно увеличить нагрузку на системных администраторов, более того - вызвать неразбериху.
|
|
|