Η πρόσφατη Ατλανσιακή συμβολή Το σφάλμα απομακρυσμένης εκτέλεσης κώδικα είναι απλώς το πιο πρόσφατο παράδειγμα απειλών μηδενικής ημέρας που στοχεύουν κρίσιμα τρωτά σημεία σε μεγάλους παρόχους υποδομής. Η συγκεκριμένη απειλή, μια ένεση γλώσσας πλοήγησης αντικειμένων-γραφήματος (OGNL), υπάρχει εδώ και χρόνια, αλλά απέκτησε νέα σημασία δεδομένου του πεδίου εφαρμογής του Atlassian exploit. Και οι επιθέσεις OGNL αυξάνονται.
Μόλις οι κακοί ηθοποιοί βρουν μια τέτοια ευπάθεια, τα proof-of-concept exploits αρχίζουν να χτυπούν την πόρτα, να αναζητούν πρόσβαση χωρίς έλεγχο ταυτότητας για τη δημιουργία νέων λογαριασμών διαχειριστή, την εκτέλεση απομακρυσμένων εντολών και την ανάληψη διακομιστών. Στην περίπτωση του Atlassian, η ερευνητική ομάδα απειλών του Akamai εντόπισε ότι ο αριθμός των μοναδικών διευθύνσεων IP που επιχειρούσαν αυτές τις εκμεταλλεύσεις αυξήθηκε σε περισσότερες από 200 μέσα σε μόλις 24 ώρες.
Η άμυνα ενάντια σε αυτά τα κατορθώματα γίνεται ένας αγώνας με τον χρόνο που αξίζει μια ταινία του 007. Το ρολόι χτυπά και δεν έχετε πολύ χρόνο για να εφαρμόσετε ένα patch και να «εκτονώσετε» την απειλή πριν να είναι πολύ αργά. Αλλά πρώτα πρέπει να ξέρετε ότι ένα exploit βρίσκεται σε εξέλιξη. Αυτό απαιτεί μια προληπτική, πολυεπίπεδη προσέγγιση της διαδικτυακής ασφάλειας που βασίζεται στη μηδενική εμπιστοσύνη.
Πώς μοιάζουν αυτά τα στρώματα; Λάβετε υπόψη τις ακόλουθες πρακτικές που πρέπει να γνωρίζουν οι ομάδες ασφαλείας — και οι τρίτοι συνεργάτες εφαρμογών Ιστού και υποδομής τους —.
Παρακολούθηση αποθετηρίων ευπάθειας
Εργαλεία σάρωσης μαζικής ευπάθειας όπως ο σαρωτής κοινότητας Nuclei ή Metasploit Οι δοκιμές διείσδυσης είναι δημοφιλή εργαλεία για τις ομάδες ασφαλείας. Είναι επίσης δημοφιλείς μεταξύ των κακών ηθοποιών που αναζητούν αποδεικτικό κώδικα εκμετάλλευσης που θα τους βοηθήσει να αναζητήσουν ρωγμές στην πανοπλία. Η παρακολούθηση αυτών των αποθετηρίων για νέα πρότυπα που μπορεί να σχεδιαστούν για τον εντοπισμό πιθανών στόχων εκμετάλλευσης είναι ένα σημαντικό βήμα για τη διατήρηση της επίγνωσης των πιθανών απειλών και την παραμονή ένα βήμα μπροστά από τα μαύρα καπέλα.
Αξιοποιήστε στο έπακρο το WAF σας
Κάποιοι μπορεί να αναφέρουν Τείχη προστασίας εφαρμογών Ιστού (WAF) ως αναποτελεσματικά έναντι των επιθέσεων zero-day, αλλά μπορούν ακόμα να διαδραματίσουν ρόλο στον μετριασμό της απειλής. Εκτός από το φιλτράρισμα της κυκλοφορίας για γνωστές επιθέσεις, όταν εντοπίζεται μια νέα ευπάθεια, μπορεί να χρησιμοποιηθεί ένα WAF για την γρήγορη εφαρμογή μιας "εικονικής ενημέρωσης κώδικα", δημιουργώντας έναν προσαρμοσμένο κανόνα για να αποτρέψετε μια εκμετάλλευση μηδενικής ημέρας και να σας δώσει λίγο χώρο αναπνοής ενώ εργάζεστε για την εφαρμογή μιας μόνιμης ενημέρωσης κώδικα. Υπάρχουν ορισμένα μειονεκτήματα σε αυτό ως μακροπρόθεσμη λύση, που ενδέχεται να επηρεάσει την απόδοση καθώς οι κανόνες πολλαπλασιάζονται για την αντιμετώπιση νέων απειλών. Αλλά είναι μια ικανότητα που αξίζει να έχετε στο αμυντικό σας οπλοστάσιο.
Παρακολούθηση της φήμης του πελάτη
Κατά την ανάλυση επιθέσεων, συμπεριλαμβανομένων των γεγονότων μηδενικής ημέρας, είναι σύνηθες να τις βλέπουμε να χρησιμοποιούν πολλές από τις ίδιες παραβιασμένες IP — από ανοιχτούς διακομιστή μεσολάβησης έως κακώς προστατευμένες συσκευές IoT — για την παράδοση των ωφέλιμων φορτίων τους. Έχοντας μια υπεράσπιση της φήμης του πελάτη που εμποδίζει την ύποπτη κυκλοφορία που προέρχεται από αυτές τις πηγές μπορεί να προσφέρει ένα ακόμη επίπεδο άμυνας από επιθέσεις zero-day. Η διατήρηση και η ενημέρωση μιας βάσης δεδομένων για τη φήμη του πελάτη δεν είναι μια μικρή εργασία, αλλά μπορεί να μειώσει δραματικά τον κίνδυνο να αποκτήσει πρόσβαση ένα exploit.
Ελέγξτε τα ποσοστά επισκεψιμότητας
Οι IP που σας προκαλούν επισκεψιμότητα μπορεί να αποτελέσουν υπόδειξη για επίθεση. Το φιλτράρισμα αυτών των IP είναι ένας άλλος τρόπος για να μειώσετε την επιφάνεια επίθεσης. Ενώ οι έξυπνοι εισβολείς μπορούν να διανείμουν τα εκμεταλλεύματά τους σε πολλές διαφορετικές IP για να αποφύγουν τον εντοπισμό, ο έλεγχος ρυθμού μπορεί να βοηθήσει στο φιλτράρισμα επιθέσεων που δεν έχουν τέτοια έκταση.
Προσοχή στα Bots
Οι επιτιθέμενοι χρησιμοποιούν σενάρια, μιμητές του προγράμματος περιήγησης και άλλες υποτροπές για να μιμηθούν ένα πραγματικό, ζωντανό άτομο που συνδέεται σε έναν ιστότοπο. Η εφαρμογή κάποιας μορφής αυτοματοποιημένης άμυνας bot που ενεργοποιείται όταν εντοπίζει ανώμαλη συμπεριφορά αιτημάτων μπορεί να είναι εξαιρετικά πολύτιμη για τον μετριασμό του κινδύνου.
Μην παραβλέπετε την εξερχόμενη δραστηριότητα
Ένα συνηθισμένο σενάριο για επιτιθέμενους που επιχειρούν απομακρυσμένη εκτέλεση κώδικα Η δοκιμή διείσδυσης (RCE) είναι η αποστολή μιας εντολής στον διακομιστή Web-στόχου για την εκτέλεση σηματοδότησης εκτός ζώνης για την πραγματοποίηση μιας εξερχόμενης κλήσης DNS σε έναν τομέα beaconing που ελέγχεται από τον εισβολέα. Εάν ο διακομιστής πραγματοποιήσει την κλήση, μπίνγκο — βρήκαν μια ευπάθεια. Η παρακολούθηση της εξερχόμενης κυκλοφορίας από συστήματα που δεν θα έπρεπε να παράγουν αυτήν την κίνηση είναι ένας τρόπος εντοπισμού μιας απειλής που συχνά παραβλέπεται. Αυτό μπορεί επίσης να βοηθήσει στον εντοπισμό τυχόν ανωμαλιών που έχασε το WAF όταν το αίτημα ήρθε ως εισερχόμενη κίνηση.
Sequester Identified Attack Sessions
Οι επιθέσεις Zero-day δεν είναι συνήθως μια πρόταση «ένα και τελειωμένο». μπορεί να στοχεύεστε επανειλημμένα ως μέρος μιας συνεδρίας ενεργής επίθεσης. Η ύπαρξη ενός τρόπου εντοπισμού αυτών των επαναλαμβανόμενων επιθέσεων και αυτόματης απομόνωσης όχι μόνο μειώνει τον κίνδυνο, αλλά μπορεί επίσης να παρέχει ένα ελεγχόμενο αρχείο καταγραφής των περιόδων επιθέσεων. Αυτή η ικανότητα «παγίδα και ανίχνευση» είναι πραγματικά χρήσιμη για εγκληματολογική ανάλυση.
Περιλάβετε την ακτίνα έκρηξης
Η πολυεπίπεδη άμυνα έχει να κάνει με την ελαχιστοποίηση του κινδύνου. Αλλά μπορεί να μην είστε σε θέση να εξαλείψετε εντελώς την πιθανότητα ένα μηδενικό exploit να τρίζει. Σε αυτή την περίπτωση, η ύπαρξη μπλοκ για τον περιορισμό της απειλής είναι κρίσιμης σημασίας. Η εφαρμογή κάποιας μορφής μικροτμηματοποίησης θα βοηθήσει στην αποτροπή της πλευρικής κίνησης, διαταράσσοντας την αλυσίδα θανάτωσης στον κυβερνοχώρο, περιορίζοντας την «ακτίνα έκρηξης» και μετριάζοντας τον αντίκτυπο μιας επίθεσης.
Δεν υπάρχει ενιαία μαγική φόρμουλα για άμυνα έναντι επιθέσεων μηδενικής ημέρας. Αλλά η εφαρμογή μιας σειράς αμυντικών στρατηγικών και τακτικών με συντονισμένο (και, ιδανικά, αυτοματοποιημένο) τρόπο μπορεί να βοηθήσει στην ελαχιστοποίηση της επιφάνειας της απειλής σας. Η κάλυψη των βάσεων που περιγράφονται εδώ μπορεί να βοηθήσει πολύ στην ενίσχυση της άμυνάς σας και να ελαχιστοποιήσει τις ασκήσεις πυρκαγιάς που διαβρώνουν το ηθικό της ομάδας.
- blockchain
- πορτοφόλια κρυπτογράφησης
- κρυπτο -ανταλλαγή
- κυβερνασφάλεια
- εγκληματίες του κυβερνοχώρου
- Κυβερνασφάλεια
- Σκοτεινή ανάγνωση
- Υπουργείο Εσωτερικής Ασφάλειας
- ψηφιακά πορτοφόλια
- firewall
- Kaspersky
- malware
- Mcafee
- Nexbloc
- Πλάτων
- πλάτων αι
- Πληροφορία δεδομένων Plato
- Παιχνίδι Πλάτωνας
- Πλάτωνα δεδομένα
- platogaming
- VPN
- ιστοσελίδα της ασφάλειας
