Den nylige Atlassisk sammenflydelse Fejl ved fjernudførelse af kode er blot det seneste eksempel på nuldagstrusler, der er rettet mod kritiske sårbarheder hos større infrastrukturudbydere. Den specifikke trussel, en Object-Graph Navigation Language (OGNL)-injektion, har eksisteret i årevis, men fik ny betydning i betragtning af omfanget af Atlassian-udnyttelsen. Og OGNL-angreb er stigende.
Når dårlige skuespillere finder en sådan sårbarhed, begynder proof-of-concept-udnyttelser at banke på døren og søger uautoriseret adgang til at oprette nye administratorkonti, udføre fjernkommandoer og overtage servere. I Atlassian-sagen identificerede Akamais trusselsforsker, at antallet af unikke IP-adresser, der forsøgte disse udnyttelser, voksede til mere end 200 inden for blot 24 timer.
At forsvare sig mod disse bedrifter bliver et kapløb med tiden, der er en 007-film værdig. Uret tikker, og du har ikke meget tid til at implementere en patch og "defuse" truslen, før det er for sent. Men først skal du vide, at en udnyttelse er i gang. Det kræver en proaktiv, flerlags tilgang til online sikkerhed baseret på nul tillid.
Hvordan ser disse lag ud? Overvej følgende praksis, som sikkerhedsteams – og deres tredjeparts webapplikations- og infrastrukturpartnere – bør være opmærksomme på.
Overvåg sårbarhedslagre
Massesårbarhedsscanningsværktøjer som Nucleis community-baserede scanner eller Metasploit penetrationstest er populære værktøjer til sikkerhedsteams. De er også populære blandt dårlige skuespillere, der leder efter proof-of-concept udnyttelseskode, der vil hjælpe dem med at søge efter revner i rustningen. Overvågning af disse lagre for nye skabeloner, der kan være designet til at identificere potentielle udnyttelsesmål, er et vigtigt skridt for at bevare bevidstheden om potentielle trusler og være et skridt foran de sorte hatte.
Få mest muligt ud af din WAF
Nogle kan pege på Webapplikations firewalls (WAF'er) som ineffektive mod zero-day angreb, men de kan stadig spille en rolle i at afbøde truslen. Ud over at filtrere trafik for kendte angreb, når en ny sårbarhed er identificeret, kan en WAF bruges til hurtigt at implementere en "virtuel patch", der skaber en tilpasset regel for at forhindre en nul-dages udnyttelse og give dig et pusterum, mens du arbejder at implementere en permanent patch. Der er nogle ulemper ved dette som en langsigtet løsning, der potentielt påvirker ydeevnen, efterhånden som regler udbredes for at imødegå nye trusler. Men det er en kapacitet, der er værd at have i dit defensive arsenal.
Overvåg klientens omdømme
Når man analyserer angreb, inklusive nul-dages hændelser, er det almindeligt at se dem bruge mange af de samme kompromitterede IP'er - fra åbne proxyer til dårligt beskyttede IoT-enheder - til at levere deres nyttelast. At have et klientomdømmeforsvar, der blokerer mistænkelig trafik, der stammer fra disse kilder, kan give endnu et lag af forsvar mod zero-day-angreb. Vedligeholdelse og opdatering af en klientomdømmedatabase er ikke en lille opgave, men det kan dramatisk reducere risikoen for, at en udnyttelse får adgang.
Styr dine trafikpriser
IP'er, der hamrer dig med trafik, kan være et tip til et angreb. At filtrere disse IP'er fra er en anden måde at reducere din angrebsflade på. Mens smarte angribere kan distribuere deres udnyttelser på tværs af mange forskellige IP'er for at undgå registrering, kan hastighedskontrol hjælpe med at filtrere angreb fra, der ikke går så langt.
Pas på bots
Angribere bruger scripts, browser-imitatorer og andre udspil til at efterligne en rigtig, levende person, der logger ind på et websted. Implementering af en form for automatiseret bot-forsvar, der udløser, når det registrerer unormal anmodningsadfærd, kan være ekstremt værdifuldt til at mindske risikoen.
Overse ikke udgående aktivitet
Et almindeligt scenarie for angribere, der forsøger fjern kodeudførelse (RCE) penetrationstest er at sende en kommando til målwebserveren for at udføre out-of-band-signalering for at foretage et udgående DNS-opkald til et beaconing-domæne, der kontrolleres af angriberen. Hvis serveren foretager opkaldet, bingo - de fandt en sårbarhed. Overvågning af udgående trafik fra systemer, der ikke burde generere den trafik, er en ofte overset måde at opdage en trussel på. Dette kan også hjælpe med at opdage eventuelle uregelmæssigheder, som WAF gik glip af, da anmodningen kom som indgående trafik.
Sequester identificerede angrebssessioner
Zero-day angreb er normalt ikke et "en og gjort"-forslag; du kan blive målrettet gentagne gange som en del af en aktiv angrebssession. At have en måde at få øje på disse gentagne angreb og automatisk sekvestrere dem reducerer ikke kun risikoen, men det kan også give en auditerbar log over angrebssessionerne. Denne "fælde og spor"-funktion er virkelig nyttig til retsmedicinske analyser.
Indeholder sprængningsradius
Flerlagsforsvar handler om at minimere risiko. Men du er måske ikke helt i stand til at eliminere chancen for, at en zero-day exploit kan knirke igennem. I så fald er det afgørende at have blokke til at indeholde truslen. Implementering af en form for mikrosegmentering vil hjælpe med at forhindre lateral bevægelse, forstyrre cyberdræbningskæden, begrænse "sprængningsradius" og afbøde virkningen af et angreb.
Der er ikke en enkelt magisk formel til at forsvare sig mod zero-day angreb. Men at anvende en række defensive strategier og taktikker på en koordineret (og ideelt set automatiseret) måde kan hjælpe med at minimere din trusselsoverflade. At dække de baser, der er skitseret her, kan i høj grad styrke dit forsvar og hjælpe med at minimere de brandøvelser, der eroderer teammoralen.
