Antywirus jest bardziej niebezpieczny, ponieważ analizuje złożone dane kontrolowane przez atakującego w wysoce uprzywilejowanym kontekście. To jest przepis na exploity związane z eskalacją uprawnień. W rezultacie wyrafinowani napastnicy często mogą nadużywać programów antywirusowych w celu uzyskania uprawnień SYSTEM. Nie jest to zjawisko rzadkie ani tylko problem dla wrogów potężnego rządu. Oprogramowanie antywirusowe jest pełne luk w zabezpieczeniach umożliwiających eskalację uprawnień. Szybkie spojrzenie na wagę luk w zabezpieczeniach na liście CVE dla dowolnego popularnego oprogramowania da przynajmniej mały wgląd w zakres problemu.

Weź pod uwagę swoje zagrożenie model

Konieczne jest zrozumienie własnego modelu zagrożeń. Sytuacja jednej osoby może dyktować, że AV jest szkodliwa, podczas gdy sytuacja innej osoby może dyktować, że jest to korzystne. Zdolność zrozumienia zagrożeń, które cię dotyczą, i przeciwników, których masz, jest niezbędna do podejmowania wszelkich decyzji związanych z bezpieczeństwem, zwłaszcza takich, które niekoniecznie są czarno-białe.

Antywirusy mogą być przydatne w sytuacjach, gdy:

• Komputer jest używany przez kogoś, kogo można łatwo nabrać na instalację złośliwego oprogramowania.

• Komputer będzie obsługiwał dane przesłane przez użytkownika, które mogą zostać ponownie rozesłane do innych.

• Pobierasz wiele niewiarygodnych programów, takich jak warez.

AV może być szkodliwe w sytuacjach, gdy:

• Twój przeciwnik jest co najmniej umiarkowanie wyrafinowany lub jest skierowany w szczególności do Ciebie.

• Jesteś jedynym użytkownikiem komputera i nie pobierasz niepodpisanych programów.

• Dbasz o aktualność oprogramowania i nie spodziewasz się, że ludzie spędzą na Tobie 0 dni.

Twój model zagrożeń decyduje o tym, czy powinieneś używać oprogramowania antywirusowego. Moja osobista sugestia, zakładając, że nie zamierzasz pobierać losowych wygaszaczy ekranu delfinów i aktualizujesz swoje oprogramowanie, może chcesz użyć prostego, domyślnego programu, takiego jak Windows Defender i używać tylko to, kiedy wyraźnie tego potrzebujesz. Za każdym razem, gdy prosisz go o przeskanowanie dysku twardego, wkładasz w to całą swoją wiarę, aby nie został zagrożony przez żadne specjalnie spreparowane złośliwe oprogramowanie, na które może się natknąć. Jeśli zamiast tego użyjesz go do kierowania na określone programy, które pobierasz przed ich uruchomieniem, znacznie zmniejszysz ryzyko.

Wymuś podpisywanie kodu

Byłoby lepiej, gdybyś nie musiał pobieraj niezaufane oprogramowanie i zamiast tego używaj zaufanych, podpisanych plików wykonywalnych wyłącznie z oficjalnych źródeł. Jest to szczególnie ważne w przypadku plików, które mają być uruchamiane jako administrator, ponieważ mają one największy potencjał do wyrządzenia szkód w instalacji. Upewnij się, że są podpisane! Nigdy nie zakładaj, że twoja własna siła woli jest wystarczająca, aby zapobiec popełnieniu błędów podczas uruchamiania nowego programu. Na tym polegają programiści trojanów!

Aby jeszcze bardziej zmniejszyć ryzyko przypadkowego uruchomienia niepodpisanego lub niewiarygodnego pliku wykonywalnego, możesz skonfigurować swoją politykę bezpieczeństwa tak, aby niepodpisane pliki wykonywalne nie można uruchomić. Zapewni to, że każde złośliwe oprogramowanie będzie musiało mieć ważny podpis, podpisany przez zaufany urząd certyfikacji. Chociaż oczywiście możliwe jest podpisanie złośliwego pliku, jest to znacznie trudniejsze i będzie stanowić większy problem, jeśli jesteś konkretnym celem, a nie tylko oportunistyczną ofiarą.

Jeśli dodatkowo ograniczysz zasady, tak aby tylko pliki wykonywalne podpisane przez samego Microsoft (a nie tylko urząd certyfikacji, któremu Microsoft ufa), możesz skutecznie wyeliminować wszelkie możliwości infekcji przez trojana. Jedynym sposobem na uruchomienie programu w takim przypadku byłoby wykorzystanie 0day w systemie operacyjnym lub złamanie zabezpieczeń wewnętrznych kluczy Microsoft do podpisywania (oba są w sferze możliwości zaawansowanych aktorów sponsorowanych przez państwo). Może to pomóc w zapobieganiu rzadkim (ale nie nieistniejącym) przypadkom, w których złośliwy kod przedostaje się do repozytoriów zaufanego programisty.

Utwardzanie systemu

Włączone systemy starsze niż Windows 10, można skorzystać z Enhanced Mitigation Experience Toolkit (EMET), aby zwiększyć bezpieczeństwo systemu bez znacznego zwiększania obszaru ataku, chociaż należy pamiętać, że EMET nie będzie otrzymywać aktualizacji znacznie dłużej. EMET działa poprzez wstrzykiwanie do procesów kodu, który zabezpiecza je przed wykorzystaniem, zwiększając prawdopodobieństwo, że próba exploita spowoduje awarię docelowej aplikacji, a nie zostanie pomyślnie wykorzystana. Jeśli korzystasz z systemu Windows 10, większość tych funkcji zabezpieczeń będzie obecna natywnie. To sprawia, że ​​jest to najbezpieczniejsza jak dotąd wersja systemu Windows, pomimo potencjalnie problematycznych problemów z prywatnością.

Możesz również wyłączyć niepotrzebne usługi (zwłaszcza usługi sieciowe, takie jak te wykorzystywane przez EternalBlue), użyj AppLocker i przeczytaj przewodniki po zabezpieczeniach dostarczone przez firmę Microsoft, aby jeszcze bardziej zwiększyć bezpieczeństwo swojego systemu. Temat ulepszania systemu jest rozległy.

To bardziej opinia niż fakt, ale odpowiedź brzmi zdecydowanie „Może!”

Zawęźmy na chwilę zakres do systemu Windows, ponieważ jest to największy rynek antywirusowy w okolicy.

Windows Defender (domyślny Microsoft AV) jest całkiem niezły; Program Windows Defender chroni przed większością (ale nie wszystkimi!) Zagrożeniami. Ale w tym rzecz - żaden program antywirusowy nie chroni przed wszystkimi zagrożeniami. Nadal musisz polegać na zdrowym rozsądku i kilku innych zabezpieczeniach.

• W zeszłym roku widzieliśmy, jak funkcja przesyłania plików Kaspersky była nadużywana przez hakerów rosyjskiego rządu, a podczas gdy to zagrożenie, którego niewielu ludzi byłoby ofiarami, wciąż się dzieje.

• W tym roku widzieliśmy, jak niektóre AV faktycznie zepsuły aktualizacje systemu Windows, które załatały dla Meltdown i Spectre.

Ten rodzaj bzdur „prawdopodobnie” nie będzie pochodził z programu Windows Defender, ponieważ mogą oni przetestować swój system operacyjny za pomocą oprogramowania antywirusowego i upewnić się, że wszystko działa (miejmy nadzieję!).

Korzystanie z programu Windows Defender nie jest jednak rozwiązaniem kompleksowym, mimo to powinieneś:

1. KOPIA ZAPASOWA, KOPIA ZAPASOWA i czy zapomniałem powiedzieć, aby cofnąć W GÓRĘ! Oprogramowanie ransomware jest nadal dość powszechne, a dobra strategia tworzenia kopii zapasowych jest jedynym prawdziwym sposobem uniknięcia bycia ofiarą. Twórz kopie zapasowe w lokalizacji poza siedzibą firmy i z wersjami - używam Dropbox! Zrób to poprawnie, aby oprogramowanie ransomware nie szyfrowało również twoich kopii zapasowych.

2. Upewnij się, że oprogramowanie jest aktualne i nie instaluj zbyt wielu śmieci. Im więcej aplikacji na komputerze, tym większe prawdopodobieństwo, że jedna z nich się zepsuje. Odśwież system Windows natychmiast po otrzymaniu laptopa, usuń całe oprogramowanie typu bloatware i upewnij się, że wszystko, co pobierasz, jest automatycznie aktualizowane - dobrym początkiem jest również niepobieranie oprogramowania od podejrzanych dostawców.

3. Używaj NoScript / Ad Blocker w swojej przeglądarce, koparki kryptograficzne działające w Javascript nie zarabiają tyle pieniędzy, ile można się spodziewać, ale wciąż są w pobliżu.

4. EMET byłby dobry, podobnie jak Windows Defender.

5. Czy wspominałem o kopii zapasowej!

6. Użyj użytkownika innego niż administrator jako domyślnego - utwórz osobnego użytkownika bez uprawnień administratora i używaj go do codziennego użytku.

Aby być całkowicie bezpiecznym jednak - odłącz komputer od internetu i schowaj się w jaskini! :)

Jako ktoś, kto często działa przeciwko AV, mogę powiedzieć, że wszystkie są do niczego. Wiele rzeczy zależy od poziomu bezpieczeństwa i komfortu, bez którego możesz żyć.

Wiedza to potęga Pierwszym narzędziem, które bym polecił, jest edukacja. Wiedza o odwiedzanych witrynach jest bardzo pomocna. Unikaj niezaufanych witryn. Obejmuje to witryny streamingowe i torrenty. Aktualizacja systemu operacyjnego jest koniecznością, bądź na bieżąco z najnowszymi zagrożeniami, Wyłącz flash. Problem, jaki miałem z zmuszaniem organizacji do używania noscript i tym podobnych, polegał na tym, że użytkownicy w końcu po prostu klikali opcję włącz wszystko.

Użyj maszyny wirtualnej z zapisywaniem stanu Alternatywnie wolę mieć maszynę wirtualną pod ręką do testowania plików. Możesz zachować dużą część swojego systemu operacyjnego na maszynie wirtualnej. Pracowałem w sieci, w której wszyscy pracowaliśmy na maszynach wirtualnych, a kiedy zadziałały, kliknij przywróć i gotowe.

Deepfreeze Użyłem głębokiego zamrażania na naszej uczelni wiele lat temu i było znakomicie. Możesz go po prostu ustawić, a system operacyjny za każdym razem powróci do swojego pierwotnego stanu. Uruchomiłem robaka petya i pozwoliłem mu zaszyfrować dysk, zrestartowałem komputer i nic. Doskonałe narzędzie!

Oddzielne sieci W domu mam osobne sieci dla „gości”. Mogą wnosić swoje rzeczy i nie muszę się martwić, że dostaną się do mojej części sieci.

Mam bezpieczniejszy system operacyjny Naprawdę nie lubię używać Windows, ponieważ czuję, że wykonuje wszystko w mgnieniu oka. To oczywiście nie jest w żaden sposób idealne, ponieważ OSX i Linux są cały czas hakowane, ale uważam, że posiadanie czegoś, co można kontrolować, jest fajne. Możesz wyłączyć makra i nadal wykonywać kod z niektórych exploitów.

Dodam więcej, gdy przyjdą im do głowy.

Ostatecznie nic nie jest idealne. ale te rzeczy mogą pomóc.

Antywirus jest w porządku - to „to, co mamy”

Po prostu nie oczekuj, że ochroni Cię przed wszystkim - nic nie będzie. W przeciwnym razie, jeśli chcesz się zabezpieczyć bez AV, będziesz musiał przeskoczyć przez kilka kółek, aby wzmocnić swoją maszynę.

1. Biała lista aplikacji
2. Sprawdź poprawki systemu operacyjnego
3. Wyłącz makra DDE
4. Regularne łatanie wszystkich aplikacji w systemie
5. Przygotuj kanał dla każdej aplikacji powiązany z CVE
6. Sysmon z ograniczona konfiguracja
7. Oddziel swój pulpit od zaufanych i niezaufanych. Na przykład sesje przeglądarki i poczta e-mail na maszynie wirtualnej bez dostępu do innej, która na przykład zawiera dane bankowe. Zniszcz niezaufaną maszynę wirtualną po każdej sesji

Zgadzam się z używaniem programu Windows Defender, ale myślę, że pomimo tego, co przeczytałeś, dobry (czytaj: wysoko oceniany przez renomowane źródła) program antywirusowy jest bezpieczną drogą. Oprócz udzielonych rad (poza mieszkaniem w jaskini), myślę, że dodanie SpyBota do swojego arsenału jest dobrym pomysłem. https://www.safer-networking.org/private/compare/ Nie będzie kolidować z żadnym programem AV i zwiększy bezpieczeństwo systemu. Możesz pobrać darmową wersję, która ma pewne ograniczenia, aby to sprawdzić. Ale jeśli czujesz, że potrzebujesz więcej funkcji, możesz kupić wersję Home lub Professional. FYI, bezpłatną wersję należy zaktualizować ręcznie. Wersje płatne robią to automagicznie. SpyBot uodparnia Twój system https://www.safer-networking.org/features/immunization/, a także skanuje i naprawia złośliwe oprogramowanie i rootkity.

Jeśli chodzi o kopię zapasową, Kopia zapasowa, kopia zapasowa itp., Polecam również ustawienie punktów przywracania za każdym razem, gdy wprowadzisz znaczącą zmianę w systemie.

Jeszcze nie trafiłem na złośliwe oprogramowanie (oczywiście teraz się zepsułem) po byciu online, ponieważ dial-up był wściekłością. Nie byłem wtedy ostrożny z tworzeniem kopii zapasowych danych, ale po kilku upartych dyskach twardych nauczyłem się lekcji.

I na koniec, korzystaj z bezpiecznej zapory ogniowej, która z pewnością jest czymś, czego potrzebujesz. już to zrobiłem, ale czułem, że powinienem o tym wspomnieć.

Nie mam takiego doświadczenia jak las, ale po ponad 20 latach udało mi się omijać złośliwe oprogramowanie, podążając za tym, co sugerowane.

AV to tylko jedna z wielu warstw zabezpieczeń, które powinien wdrożyć każdy użytkownik systemu Windows. Użytkownik musi tylko pamiętać, że nie ma czegoś takiego jak w 100% skuteczny program antywirusowy i że nie jest to srebrna kulka.
Jeśli chodzi o złamanie zabezpieczeń oprogramowania antywirusowego, jest to niezwykle rzadko się to zdarza, a przez większość czasu takie wiadomości są po prostu FUD, zacytowałeś nawet Daily Mail, który jest po prostu śmieciem w każdym standardzie.

Jest bardziej prawdopodobne, że system jest zagrożony, ponieważ AV nie jest zainstalowany, ponieważ sam AV został naruszony.
Powinieneś się martwić, że twój AV zostanie naruszony tylko wtedy, gdy jesteś przeciwko suwerennemu narodowi, a jeśli tak jest, już przegrałeś.

Wszystkie poniższe wymienne możliwości mogą zmniejszyć ryzyko zarażenia wirusem w pierwszej kolejności.

• Zawsze aktualizuj i aktualizuj Twój system operacyjny i aplikacje.
• Użyj zapory.
• Brak internetu.
• Brak USB.
• System operacyjny Unix (oparty na systemie) (dystrybucja Mac OS lub Linux).
• Regularnie aktualizowana, wysoce rozwinięta przeglądarka internetowa (Chrome lub Edge).

opcja 1) możesz rozważyć migrację jak największej liczby komputerów do Linuksa. Jeśli nie jest to możliwe, przenieś przynajmniej kilka krytycznych maszyn do Linuksa.

opcja 2) Jeśli na niektórych komputerach możesz mieć tylko Windows, możesz wdrożyć Linuksa jako hostOS, a następnie użyć rdesktop do zalogowania się cienkie komputery klienckie z systemem Windows; lub możesz użyć Windows VM do niektórych zadań, a do reszty zadań użyj hosta Linux.

opcja 3) na maszynach, na których żadna z opcji 1 lub 2 nie jest możliwa, a następnie wdróż maszynę Windows z wszystkimi powyższymi podejścia, jak wyjaśniono w innych odpowiedziach.

Obecnie program antywirusowy może być znacznie bardziej złożony niż w przeszłości i może obejmować dość szerokie spektrum rzeczy, takich jak:

• Antywirus plików
• e - ochrona poczty
• ochrona sieci
• kontrola uruchamiania aplikacji
• zasady zapory ogniowej
• zasady sieciowe - ograniczanie i rejestrowanie aktywności użytkowników
• zarządzanie hasłami
• szyfrowanie danych
• eksploracja procesów
• konsola zarządzania dla wszystkich powyższych

Osobiście nie Nie używam antywirusa (ale polecam wszystkim przeciętnym użytkownikom korzystanie z jednego), ponieważ pracuję z wieloma plikami i narzędziami, które będą wyzwalać alerty, ale aby to zrobić, teoretycznie powyższe powinno być omówione w inny sposób .

[Files]

Znajomość własnych plików jest bardzo ważna w systemie operacyjnym. W przeszłości było to bardzo proste - aż do ery XP wielu wiedziało, czy plik musi istnieć w folderach systemu operacyjnego, czy nie. Teraz sprawy są bardziej złożone, a systemy operacyjne mogą zawierać setki tysięcy plików, których nie można ręcznie dodać. Będziemy więc musieli użyć alternatywnych narzędzi do wykrywania nieautoryzowanych zmian. Istnieją narzędzia, które mogą to zrobić i wyzwalają zmiany, jeśli plik docelowy zostanie zmieniony. Zabezpieczanie systemu operacyjnego i innych krytycznych plików działa. Każda nieautoryzowana zmiana może spowodować zmianę lub nawet zmianę + możliwość cofnięcia tej czynności.

[E-mail]

Ochrona poczty e-mail może być bardziej związany z użytkownikami w tym sensie, że w przypadku wiadomości e-mail świadomość użytkowników jest ważniejsza niż jakiekolwiek narzędzie bezpieczeństwa. Jeśli użytkownicy są przeszkoleni, aby nie klikać linków i nie otwierać załączników z niezaufanych źródeł, ta część jest lepiej opisana niż za pomocą narzędzi filtrujących, które i tak pozwolą wielu niebezpiecznym treściom przedostać się. Oczywiście domyślne odrzucanie niebezpiecznych rozszerzeń za pośrednictwem systemu poczty elektronicznej też bardzo pomaga. Mój wniosek jest prosty: szkolenie użytkowników jest ważniejsze niż filtrowanie poczty e-mail.

[Sieć]

Po stronie sieci istnieje wiele narzędzi, które umożliwiają monitorowanie, wykrywanie włamań, wykrywanie współdzielonego dostępu. Narzędzia te nie chronią przed bardzo zaawansowanym atakiem wykorzystującym luki w zabezpieczeniach. Jest to problem, który dobry program antywirusowy może rozwiązać, ale w inny sposób trudno go rozwiązać. Wolałbym raczej pozwolić antywirusowi zarządzać tą częścią, jeśli to możliwe.

[Aplikacje]

Nawet w dzisiejszych czasach stosunkowo łatwo jest kontrolować, co działa a czego nie ma na komputerze. Zaczynając od podstaw, takich jak UAC, a kończąc na narzędziach kontrolujących i monitorujących, co program może zrobić po uruchomieniu, możesz całkiem dobrze omówić ten aspekt.

[Zapora]

Systemy operacyjne mają własną zaporę ogniową, więc równie dobrze możesz jej użyć. Chociaż oprogramowanie antywirusowe może łatwiej kontrolować to dzięki swoim własnym zasadom, to praktycznie to samo: jeśli dokonasz dobrej konfiguracji, jest w porządku w obu przypadkach: jeśli zostało wykonane w zaporze systemu operacyjnego lub jeśli zostało wykonane w zaporze antywirusowej.

[Sieć]

Jest to obszar, w którym oprogramowanie antywirusowe może bardzo pomóc; dobry program antywirusowy ma już bazy danych na czarnej liście, ma możliwość skanowania na żywo w celu filtrowania stron internetowych podczas ich ładowania. Pokrycie tego bez żadnych funkcji antywirusowych może być dość trudne i czasochłonne. Nie sądzę, aby jakikolwiek normalny użytkownik utrzymywał skonfigurowane czarne listy w swojej przeglądarce. A ponieważ przeglądarki mają wiele luk i exploitów, jest to jedna z części, którą wolałbym pozwolić, aby program antywirusowy obejmował. W inny sposób szkolenie pomaga omówić tę część, podobnie jak w przypadku poczty elektronicznej. Żadnego otwierania stron poza ściśle znanymi i potrzebnymi, nie ma problemu. W przypadku dużej witryny, takiej jak g00gle, występują problemy, jest to wysoce nieprawdopodobne.

[Zarządzanie hasłami] Nie jest to obowiązkowe i można to omówić na dziesiątki sposobów, więc nie naprawdę ważny aspekt, ale niektóre rozwiązania antywirusowe również go obejmują.

[Szyfrowanie]

Szyfrowanie poufnych danych może być niezwykle ważne w wielu sytuacjach i niektóre rozwiązania antywirusowe oferują w tym celu wsparcie. Ale to nie jest problem, dzisiejsze systemy operacyjne mogą to zrobić, a bardzo dobre narzędzia ogólnego zastosowania, takie jak TrueCrypt i VeraCrypt, mogą to zrobić zarówno na poziomie kontenera, jak i na poziomie systemu.

[Procesy ]

Dobre rozwiązania antywirusowe będą dobrze monitorować procesy i natychmiast wykrywać anomalie i złe zachowanie procesów. Ale są narzędzia, które mogą obejmować również ten aspekt. Nawet stary eksplorator procesów może wystarczyć, aby wykryć zły proces, który możesz następnie zakończyć.

[C&C]

Zakładając, że omówiłeś większość powyższe, może być również ważne, aby móc scentralizować wszystko. Robisz to ? Z pewnością jest to możliwe. Kontrolowanie rzeczy osobno może okazać się trudne i czasochłonne. Używam zmodyfikowanego zaawansowanego menedżera plików do centralizacji poleceń i kontroli nad każdym aspektem powyższego. Mogę uruchomić wszystko, co potrzebne, bezpośrednio z niego, bez korzystania z własnego interfejsu użytkownika lub funkcji systemu operacyjnego. Powłoka działa nawet wtedy, gdy interfejs użytkownika lub własna powłoka systemu operacyjnego nie działa. To sprawia, że ​​jest to dobre i wykonalne na wypadek, gdyby coś poszło nie tak z częścią systemu operacyjnego.

W zależności od konkretnego przypadku / sytuacji możesz chcieć użyć niektórych lub nawet wszystkich powyższych.

Masz rację co do ograniczeń i możliwego zwiększonego ryzyka związanego z oprogramowaniem antywirusowym. Jest to nie tylko największy pojedynczy składnik oprogramowania na komputerze, który przyczynia się do powolnego I / O powodującego spowolnienie, ale koncepcja budowania coraz większej bazy danych wszystkich złośliwych programów jest błędna, ponieważ zawsze w najlepszym przypadku nadrabia zaległości po tym, jak złośliwe oprogramowanie jest wydane i odkryte.

Należy również wspomnieć, że oprogramowanie antywirusowe przede wszystkim skanuje wejścia / wyjścia, aby zapobiec przeniesieniu złośliwego oprogramowania do lub z pamięci trwałej. Oprogramowanie antywirusowe nie skanuje połączeń sieciowych ani innych źródeł we / wy innych niż plikowe exploitów. Exploit może nadejść przez połączenie sieciowe, wykorzystać działające oprogramowanie i mieć teraz kod wykonywany w systemie. Ten kod może następnie wyłączyć oprogramowanie antywirusowe, a następnie przystąpić do instalacji w systemie.

Twoja przeglądarka internetowa to niezwykle duży i skomplikowany program, a biorąc pod uwagę jego szerokie zastosowanie, jest prawdopodobnie największym wektorem ataku dla użytkowników, którzy nie pobierają losowego oprogramowania, nawet jeśli wtyczki nie są używane. Niestety, istnieją tylko cztery możliwości wyboru baz kodu dla przeglądarek zgodnych z aktualnymi standardami. Przeglądarki Microsoft Internet Explorer, Microsoft Edge, przeglądarki open source Mozilla lub Gecko (Firefox i wiele innych) oraz przeglądarki WebKit / Blink typu open source (Konqueror, Safari, Chromium). Opera nie nadążała za Javascriptem i przełączyła się na używanie Blink jako silnika renderującego.

Jeśli Javascript nie był już wystarczająco dużą powierzchnią ataku i problemem z bezpieczeństwem, dodawany jest nowy rodzaj JavaScript o nazwie WebAssembly do FireFox teraz. Rozważ wyłączenie go w FireFox w ten sposób: przejdź do about: config, a następnie ustaw javascript.options.wasm = false.

Inni wspominali o używaniu zapory sieciowej lub wyłączaniu zbędnych usług systemowych, więc wspomnę o innych rzeczach .

edycja: Istnieją różne typy ataków. Niektóre ataki są skierowane przeciwko celowi, a inne są typowymi atakami, których celem jest duża liczba systemów. Niektóre środki bezpieczeństwa doskonale nadają się do ochrony przed typowymi atakami, ale niewiele robią, aby udaremnić atak ukierunkowany. Inne metody chronią przed typowymi atakami i chronią przed typowymi atakami ukierunkowanymi, ale nie chronią przed bezpośrednim atakiem ze strony atakującego, który jest skłonny przeanalizować twoją konkretną konfigurację i poświęcić czas na ustalenie, jak ją zaatakować. Z reguły mniejsza baza kodu i większy nacisk na bezpieczeństwo podczas opracowywania aplikacji zmniejszy liczbę luk w zabezpieczeniach programu. Jeśli program jest open source i jeśli jest popularny, zostanie wykryta większa liczba luk w zabezpieczeniach i ostatecznie zgłoszona lub upubliczniona. Zmniejsza to ogólną liczbę luk w zabezpieczeniach programu, ale w większości przypadków zwiększa ryzyko korzystania z programu, ponieważ luki są znacznie częściej odkrywane i znane opinii publicznej. Z drugiej strony zmniejszona liczba luk w programie ze względu na jego popularność i łatanie oznacza, że ​​ktoś, kto celowo przeszukuje kod w celu wykrycia nowych luk, odniesie mniejszy sukces. Podsumowując, jeśli luka istnieje, ale nikt nie jest znana, pozostaje nieszkodliwa, dopóki nie zostanie odkryta. Są więc wady i zalety zwiększonej popularności i wykrywania błędów w oprogramowaniu.

Kłamstwo na temat wersji aplikacji: O tej rzadko się mówi. Często, aby skutecznie wykorzystać lukę, należy znać dokładną wersję programu i systemu operacyjnego. Niestety Twoja przeglądarka internetowa zgłasza dokładną wersję, a także system operacyjny, na którym działa za każdym razem, gdy łączysz się z witryną. Rozważ zmianę UserAgent w swojej przeglądarce i dowolnej innej aplikacji, która ujawnia zbyt wiele informacji o sobie.

Korzystaj z zabezpieczeń na poziomie użytkownika swojego systemu operacyjnego. Uruchom przeglądarkę na ograniczonym koncie użytkownika, które nie jest kontem administratora i najlepiej innym niż zwykłe konto użytkownika. Samo to zapewnia większe bezpieczeństwo niż jakiekolwiek oprogramowanie antywirusowe. Pamiętaj, że to, jak dobrze to działa, zależy od systemu operacyjnego. W systemie Windows nawet ograniczony program działający z innymi oknami w sesji może monitorować wszystkie dane wprowadzane z klawiatury, z wyjątkiem wyspecjalizowanych pełnoekranowych systemowych okien wprowadzania hasła. Klienci korzystający z * nix korzystający z systemu X Window mogą również monitorować wprowadzanie danych z klawiatury.

Upewnij się, że DEP i ASLR są włączone. Windows może nie włączyć DEP (pamięci niewykonywalnej) Programy Windows w celu zapobiegania awariom z powodu problemów ze zgodnością. Włącz funkcję DEP dla wszystkiego i wyklucz programy powodujące awarie w razie potrzeby. WehnTrust może zostać użyty do dodania ASLR do wersji Windows NT5 ( https://archive.codeplex.com/?p=wehntrust instalator tam zakopany).

Używaj mało znanego systemu operacyjnego. Windows, OS X i Linux stały się dość popularne. Nadal istnieją alternatywy, takie jak BSD i Solaris. Jeśli skonfigurujesz przeglądarkę lub inne aplikacje tak, aby kłamały na temat ich systemu operacyjnego, osoba atakująca może próbować wykorzystać Twoją aplikację i spowodować jej awarię zamiast działania. Edycja: Jak napisano powyżej, zależy to od sytuacji. Około 2004 roku liczba luk w zabezpieczeniach wykrytych w Linuksie znacznie wzrosła w porównaniu z BSD, a do tego czasu liczba wykrytych luk była podobna. Uważam, że jest to spowodowane rosnącym wzrostem popularności Linuksa w porównaniu z BSD. Zarówno BSD, jak i Linux prawdopodobnie zawierają dużą liczbę luk w zabezpieczeniach, ale BSD wydaje się być znacznie bezpieczniejszy ze względu na brak popularności, co skutkuje publicznym wykryciem znacznie mniejszej liczby luk. Zgodnie z prezentacją DEF CON 25 - Ilja van Sprundel, analiza źródła jądra BSD ujawniła szereg luk. Nadal trzymam się tego, co powiedziałem, że prowadzenie mało znanego systemu operacyjnego jest bezpieczniejsze. Jeśli jednak jesteś celem ukierunkowanego ataku, w którym ktoś jest skłonny poświęcić dużo czasu na analizę Twojej niejasnej konfiguracji, jesteś mniej bezpieczny!

Nie zapomnij o systemach wbudowanych! Twój chip Wi-Fi ma procesor i oprogramowanie układowe! Twoje oprogramowanie antywirusowe nie może zrobić nic, aby zapobiec atakowaniu systemów wbudowanych przez złośliwe oprogramowanie. Chipsety Wi-Fi mają własne procesory i oprogramowanie układowe i mogą być zdalnie atakowane. Latem 2017 na Defcon zademonstrowali zdalne przepełnienie bufora w chipsetach Broadcom WiFi! Demonstracja nie wykraczała poza zmianę wywołania funkcji w oprogramowaniu Broadcom i spowodowanie wysłania „posiadanego” pakietu, ale taki exploit umożliwia całkowite przejęcie oprogramowania układowego chipsetu Wi-Fi. Broadcom jest używany w wielu smartfonach i produktach Apple! Ktoś może DMA pamięć systemową i odesłać dane za pomocą kanału poza normalnym widmem Wi-Fi. Mogą również pisać do pamięci RAM i instalować zestaw root, omijając wszystko. Mogą również zapisywać bezpośrednio do pamięci trybu zarządzania systemem komputera. Ponieważ pamięć SMM może być zablokowana przez chipset (z wyjątkiem sytuacji, gdy procesor jest w SMM), żadne skanowanie pamięci nie może jej nawet wykryć. Nie ma znaczenia, ile masz programów zabezpieczających ani ile maszyn wirtualnych ma Twój komputer. To jest bezpośredni atak na pierścień 0 / -1 / -2 !!! Nie ma programu antywirusowego ani innego oprogramowania, które mogłoby wykryć taki atak. Dla kogoś, kto jest zaznajomiony z programowaniem dla systemu wbudowanego, napisanie dla niego złośliwego oprogramowania nie jest dużo trudniejsze niż w przypadku zwykłego systemu operacyjnego komputera.

edycja: Widzę wiele negatywnych odpowiedzi na moją odpowiedź, ale pamiętam, że pierwotne pytanie dotyczy alternatywy dla programu antywirusowego, a każda znająca się na rzeczy osoba zajmująca się bezpieczeństwem IT wie, jak nieskuteczny może być bezużyteczny program antywirusowy czasami. Więc niektóre z moich sugestii, takich jak używanie mało znanego systemu operacyjnego, w rzeczywistości robią to samo, co robi antywirus, czyli zmusza twórców wirusów do modyfikowania ich złośliwego oprogramowania, aby obejść oprogramowanie antywirusowe. W miejsce oprogramowania antywirusowego opartego na bazie danych oferuję nieco nieskuteczne rozwiązania zabezpieczające, które są jeszcze mniej skuteczne!