Die jüngste Atlassian Confluence Der Fehler bei der Remotecodeausführung ist nur das jüngste Beispiel für Zero-Day-Bedrohungen, die auf kritische Schwachstellen bei großen Infrastrukturanbietern abzielen. Die konkrete Bedrohung, eine Object-Graph Navigation Language (OGNL)-Injektion, gibt es schon seit Jahren, hat jedoch angesichts des Ausmaßes des Atlassian-Exploits eine neue Bedeutung erlangt. Und OGNL-Angriffe nehmen zu.
Sobald Kriminelle eine solche Schwachstelle entdecken, klopfen Proof-of-Concept-Exploits an die Tür und suchen nach unauthentifiziertem Zugriff, um neue Administratorkonten zu erstellen, Remote-Befehle auszuführen und Server zu übernehmen. Im Atlassian-Fall stellte das Bedrohungsforschungsteam von Akamai fest, dass die Anzahl der eindeutigen IP-Adressen, die diese Exploits versuchten, innerhalb von nur 200 Stunden auf über 24 anstieg.
Die Abwehr dieser Heldentaten wird zu einem Wettlauf gegen die Zeit, der eines 007-Films würdig ist. Die Uhr tickt und Sie haben nicht mehr viel Zeit, einen Patch zu implementieren und die Bedrohung zu „entschärfen“, bevor es zu spät ist. Aber zuerst müssen Sie wissen, dass ein Exploit im Gange ist. Dies erfordert einen proaktiven, mehrschichtigen Ansatz zur Online-Sicherheit, der auf Zero Trust basiert.
Wie sehen diese Schichten aus? Berücksichtigen Sie die folgenden Praktiken, die Sicherheitsteams – und ihre externen Webanwendungs- und Infrastrukturpartner – kennen sollten.
Überwachen Sie Schwachstellen-Repositorys
Tools zum Massenscannen von Sicherheitslücken wie der Community-basierte Scanner von Nuclei oder Metasploit Penetrationstests sind beliebte Tools für Sicherheitsteams. Sie sind auch bei Kriminellen beliebt, die nach Proof-of-Concept-Exploit-Code suchen, der ihnen bei der Suche nach Rissen in der Panzerung hilft. Die Überwachung dieser Repositorys auf neue Vorlagen, die zur Identifizierung potenzieller Exploit-Ziele entwickelt werden könnten, ist ein wichtiger Schritt, um das Bewusstsein für potenzielle Bedrohungen aufrechtzuerhalten und den Black Hats immer einen Schritt voraus zu sein.
Machen Sie das Beste aus Ihrem WAF
Einige mögen darauf hinweisen Webanwendungs-Firewalls (WAFs) gelten als unwirksam gegen Zero-Day-Angriffe, können aber dennoch eine Rolle bei der Eindämmung der Bedrohung spielen. Wenn eine neue Schwachstelle identifiziert wird, kann eine WAF nicht nur den Datenverkehr nach bekannten Angriffen filtern, sondern auch dazu verwendet werden, schnell einen „virtuellen Patch“ zu implementieren und eine benutzerdefinierte Regel zu erstellen, um einen Zero-Day-Exploit zu verhindern und Ihnen etwas Luft zum Arbeiten zu geben um einen permanenten Patch zu implementieren. Als langfristige Lösung gibt es einige Nachteile, die sich möglicherweise auf die Leistung auswirken, da immer mehr Regeln zur Abwehr neuer Bedrohungen gelten. Aber es ist eine Fähigkeit, die es wert ist, in Ihrem Verteidigungsarsenal zu haben.
Überwachen Sie die Kundenreputation
Bei der Analyse von Angriffen, einschließlich Zero-Day-Ereignissen, ist es üblich, dass sie viele der gleichen kompromittierten IPs nutzen – von offenen Proxys bis hin zu schlecht geschützten IoT-Geräten –, um ihre Nutzlasten zu übermitteln. Ein Client-Reputationsschutz, der verdächtigen Datenverkehr aus diesen Quellen blockiert, kann eine weitere Schutzebene gegen Zero-Day-Angriffe darstellen. Die Pflege und Aktualisierung einer Client-Reputationsdatenbank ist keine leichte Aufgabe, kann aber das Risiko, dass ein Exploit Zugriff erhält, drastisch reduzieren.
Kontrollieren Sie Ihre Verkehrsraten
IP-Adressen, die Sie mit Datenverkehr überhäufen, können ein Hinweis auf einen Angriff sein. Das Herausfiltern dieser IPs ist eine weitere Möglichkeit, Ihre Angriffsfläche zu verringern. Während intelligente Angreifer ihre Exploits möglicherweise über viele verschiedene IPs verteilen, um einer Entdeckung zu entgehen, kann die Ratenkontrolle dabei helfen, Angriffe herauszufiltern, die nicht so weitreichen.
Achten Sie auf Bots
Angreifer verwenden Skripte, Browser-Imitatoren und andere Täuschungen, um eine echte, lebende Person nachzuahmen, die sich auf einer Website anmeldet. Die Implementierung einer Form automatisierter Bot-Abwehr, die ausgelöst wird, wenn sie ungewöhnliches Anforderungsverhalten erkennt, kann bei der Risikominderung äußerst wertvoll sein.
Übersehen Sie nicht die ausgehenden Aktivitäten
Ein häufiges Szenario für Angreifer Remote-Code-Ausführung Beim Penetrationstest (RCE) wird ein Befehl an den Ziel-Webserver gesendet, um eine Out-of-Band-Signalisierung durchzuführen, um einen ausgehenden DNS-Anruf an eine vom Angreifer kontrollierte Beaconing-Domäne zu tätigen. Wenn der Server den Anruf tätigt, Bingo – sie haben eine Schwachstelle gefunden. Die Überwachung des ausgehenden Datenverkehrs von Systemen, die diesen Datenverkehr eigentlich nicht erzeugen sollten, ist eine oft übersehene Möglichkeit, eine Bedrohung zu erkennen. Dies kann auch dazu beitragen, etwaige Anomalien zu erkennen, die die WAF übersehen hat, als die Anfrage als eingehender Datenverkehr einging.
Sequestrieren Sie identifizierte Angriffssitzungen
Zero-Day-Angriffe sind in der Regel kein einmaliges Unterfangen; Sie können im Rahmen einer aktiven Angriffssitzung wiederholt ins Visier genommen werden. Die Möglichkeit, diese wiederholten Angriffe zu erkennen und automatisch abzuwehren, verringert nicht nur das Risiko, sondern kann auch ein überprüfbares Protokoll der Angriffssitzungen liefern. Diese „Trap and Trace“-Funktion ist für forensische Analysen sehr nützlich.
Enthalten Sie den Explosionsradius
Bei der mehrschichtigen Verteidigung geht es um die Minimierung des Risikos. Aber Sie können das Risiko, dass sich ein Zero-Day-Exploit durchschleicht, möglicherweise nicht vollständig ausschließen. In diesem Fall ist es von entscheidender Bedeutung, über Blockaden zu verfügen, um die Bedrohung einzudämmen. Die Implementierung irgendeiner Form der Mikrosegmentierung wird dazu beitragen, seitliche Bewegungen zu verhindern, die Cyber-Kill-Chain zu unterbrechen, den „Explosionsradius“ zu begrenzen und die Auswirkungen eines Angriffs abzuschwächen.
Für die Abwehr von Zero-Day-Angriffen gibt es kein Patentrezept. Aber die koordinierte (und im Idealfall automatisierte) Anwendung einer Reihe von Verteidigungsstrategien und -taktiken kann dazu beitragen, die Bedrohungsfläche zu minimieren. Das Abdecken der hier beschriebenen Grundlagen kann einen großen Beitrag zur Stärkung Ihrer Verteidigung leisten und dazu beitragen, die Brandschutzübungen zu minimieren, die die Teammoral untergraben.
