Angenommen, auf meinem VPS werden nur IIS und SQL Server ausgeführt, sonst nichts. Benötige ich ein Antivirenprogramm? Mit anderen Worten: Ist es möglich, einen Virus zu fangen, ohne im Internet zu surfen und Zufallsdateien zu installieren?
Der Wert von Anti-Malware-Software ist umstritten. Einige Leute sagen, dass überhaupt keine Anti-Malware-Software erforderlich ist.
Hier ist eine ganz andere Ansicht: Für einen virtuellen privaten Server (auch als virtuelle Maschine bezeichnet) möchten Sie möglicherweise noch mehr Anti-Malware-Software ausführen: Führen Sie Anti-Malware-Software auf der virtuellen Maschine und auch auf dem Computer aus führt die "virtuelle Maschine" -Software aus.
Es gibt keine Garantie dafür, dass IIS fehlerfrei ist. (In der Tat waren viele Versionen von IIS besonders fehlerhaft, sogar mehr als Lösungen von Mitbewerbern.) Es ist absolut zu glauben, dass Anti-Malware-Software die Ergebnisse eines netzwerkbasierten Angriffs bemerkt, der die in IIS integrierte Schwäche ausnutzt. Daher scheint die Installation von Anti-Malware-Software umsichtig zu sein.
Wird die Installation der Anti-Malware-Software jetzt Ihren Schutz gewährleisten? Nicht 100% Mikko Hypponens "Warum Antivirus-Unternehmen wie Mine nicht in der Lage waren, Flamme und Stuxnet zu fangen" "Dies bedeutet, dass wir alle die Entdeckung dieser Malware seit zwei oder mehr Jahren verpasst haben. Das ist ein spektakulärer Fehler für unser Unternehmen und für die Antivirus-Branche im Allgemeinen." ... "Die Wahrheit ist, dass Antivirenprodukte für Endverbraucher nicht vor gezielter Malware schützen können, die von gut ausgestatteten Nationalstaaten mit übermäßigen Budgets erstellt wird."
Die Installation von Anti-Malware-Software ist daher keine definitive Möglichkeit, um vor möglichen Angriffen vollständig geschützt zu sein. Es hilft jedoch oft gegen viele Angriffe und wird allgemein als vernünftige Vorgehensweise angesehen. So installieren Sie andere Schutzmechanismen, beispielsweise eine netzwerkbasierte Firewall. Manchmal überlappen sich manche dieser Abwehrkräfte. Einige Leute mögen sagen, dass einige der Abwehrmechanismen nicht benötigt werden. Es gibt eine Vielzahl von Meinungen, sogar unter Branchenfachleuten und anderen, die von vielen als Experten eingestuft werden. Es geht also darum, eine intelligente, vernünftige Entscheidung zu treffen, mit der Sie zufrieden sind, anstatt nur eine Antwort zu haben.
Lassen Sie mich mit all dem eine einfache und unkomplizierte Antwort auf eine Ihrer Fragen geben. Wenn Sie im Internet surfen und Dinge installieren, kann ein Angreifer die Kontrolle über einen Computer erlangen. Es gibt auch andere Möglichkeiten. Um Ihre Frage mit einer Antwort aus einem Wort zu beantworten:
"Mit anderen Worten: Ist es möglich, einen Virus zu fangen, ohne im Internet zu surfen und Zufallsdateien zu installieren?"Ja.
@ TOOGAM eignet sich besonders für die allgemeine Verwendung von VPS-Systemen, aber für eine allgemeinere / traditionelle Sichtweise von Serversicherheitsproblemen möchte ich dies hier angeben.
Kurze Antwort, ja, in der Regel sollte jedes Windows-Betriebssystem mit einer Anti-Malware-Plattform ausgestattet sein. Wenn Sie in einer Unternehmensumgebung kein vollständig abgespecktes, stark überwachtes No-GUI-System verwenden, ist die Oberfläche zu groß. All dies ist jetzt mit neueren Windows-Servern möglich (versucht nicht, MS zu beeinträchtigen), ist jedoch bei VPS-Bereitstellungen nicht üblich.
Sie sind richtig, da Server mit anderen Angriffsvektoren als Endbenutzer-Workstations (meist "passiven" Trojanern) konfrontiert sind, aber die Unterschiede machen es tatsächlich schlimmer als besser, da Server-Angriffe "aktiv" sind, die von den Gegner und sind nicht beständig, da der unerlaubte Betreiber möglicherweise nichts Erkennbares tut.
Ein Server-Hack folgt im Allgemeinen einem von mehreren Flows, abhängig davon, wie stark das Targeting ist, welche Automatisierung verfügbar ist und welche Systeme genutzt werden. Anders als bei Workstations geht es jedoch allgemein darum, Service-Software anzugreifen.
Fernverwaltungssysteme (RAS) wie SSH, Telnet, VNC. RemoteDesktop usw. sind ein attraktives Ziel. Sobald der Angreifer identifiziert wurde, wird er versuchen, Exploits gegen diesen bestimmten RAS zu nutzen, und erlangt einen gewissen Zugang. Sie werden dann einen zweiten Satz von nutzen Eskalation des Privilegs Angriffe, um einen ungehinderten Zugang zum System zu erhalten. Diese Angriffe können automatisiert werden, sodass sie bis zu einem gewissen Grad skaliert werden können.
Beunruhigender sind der Anwendungsdienst (Daemon) und anwendungsbasierte Angriffe. Jeder Service, der für die Außenwelt zugänglich ist, weist eine angreifbare Oberfläche auf und versucht, Fehler im Service-Stack oder dessen Konfiguration auszunutzen. Ein Dienst ist im Wesentlichen ein Mittel, mit dem ein Remote-Benutzer Befehle und Eingaben an Ihren Server senden und von ihm anfordern kann, als Reaktion darauf Maßnahmen zu ergreifen. In der Realität ist es so, dass fast jeder Dämon eine ausnutzbare Sicherheitsanfälligkeit aufweist.
Anwendungen, die sich auf einem Service-Stack befinden, sind die häufigste Angriffsfläche. Angriffe gegen Webdienste wie SQL-Injektion . CSRF . Pathing-Exploits usw. (im Wesentlichen kann jeder Eingabemechanismus genutzt werden, einschließlich Cookies, URLs, Eingabesteuerelemente usw.), um häufig auf den zugrunde liegenden Dienst und letztlich auf das Server-Betriebssystem selbst zuzugreifen.
Nachdem wir nun die Bedrohungslandschaft behandelt haben, können Anti-Malware-Systeme Angriffe auf verschiedene Weise verhindern oder abschwächen. Insbesondere bei Servern erfolgt die Aufnahme von Anwendungsorientierte Firewalls . Intrusion Detection / Prevention System (IDPS) und System Schwachstellenerkennung (VDS) sind besonders wichtig.
Anwendungs-Firewalls und Intrusion Detection-Systeme sind auf die Überwachung von Ereignisschwellenwerten spezialisiert und haben oft ein Verständnis für den zu schützenden Dienst. Sie können daher erweiterte Erkennungen und Antworten auf Eingaben liefern, die für den betreffenden Dienst schädlich sind, aber ansonsten als harmlos erscheinen . Zum Beispiel das allgemeine Dienstprogramm Fail2Ban arbeitet mit IPTables und erkennt fehlgeschlagene Anmeldeversuche bei Diensten wie SSH. Sie kann so konfiguriert werden, dass die IP-Adresse eines Benutzers, wenn er sich dreimal in einem bestimmten Zeitraum nicht anmeldet, vollständig blockiert wird und später automatisch aufgehoben wird (falls gewünscht). Dadurch kann ein anwendungsspezifisches Ereignis eine systemweite Antwort auslösen, um sich vor weiteren Angriffen dieses Benutzers zu schützen.
Systemwarner für Schwachstellen erkennen Datenbanken mit Bedrohungs- / Schwachstellen- / Softwareversionen, um anfällige Software zu erkennen und den Benutzer bei der Behebung des Problems zu unterstützen. Sie können auch unsichere Konfigurationen erkennen und Lösungen empfehlen, um die Sicherheitsanfälligkeit zu schützen.
Traditionelle Datei- / Prozess- / Speicher-Signatur- und heuristische Erkennungen haben ebenfalls ihren Platz im großen Rahmen der Dinge. Sie können Jailbreak-Software erkennen, die zum Eskalieren von Diensten verwendet wird, wenn sie heruntergeladen oder kompiliert wird, illegale RAS / Root-Kits und Konfigurationen, die von Angreifern mit teilweisem Zugriff hinzugefügt werden, erkennen und vor Wurm-Malware schützen.
Moderne Anti-Malware-Plattformen auf Server-Ebene implementieren solche Komponenten in unterschiedlichem Maße. In Linux führen Sie normalerweise eigene Rollen durch, indem Sie die erforderlichen Komponenten für die von Ihnen bereitgestellten Dienste implementieren (wenn Sie SSH verwenden, installieren Sie fail2ban). Bei Windows oder anderen Systemen, die wahrscheinlich mehrere Dienste ausführen, versuchen die Tools-Suites umfassenden Schutz zu bieten.
In der Summe erfordern die unterschiedlichen Workflows sowohl traditionelle als auch nicht traditionelle Verteidigungstechniken in Kombination, um Systeme zu schützen.