hiljutine Atlassia ühinemine koodi kaugkäitamise viga on vaid viimane näide nullpäeva ohtudest, mis on suunatud suuremate infrastruktuuri pakkujate kriitilistele haavatavustele. Konkreetne oht, Object-Graph Navigation Language (OGNL) süstimine, on olnud olemas juba aastaid, kuid omandas Atlassiani ärakasutamise ulatust arvestades uue tähenduse. Ja OGNL-i rünnakud on tõusuteel.
Kui halvad tegutsejad sellise haavatavuse avastavad, hakkavad uksele koputama kontseptsiooni tõestamise võtted, mis otsivad autentimata juurdepääsu uute administraatorikontode loomiseks, kaugkäskude täitmiseks ja serverite ülevõtmiseks. Atlassiani juhtumi puhul tuvastas Akamai ohtude uurimisrühm, et neid ärakasutusi üritavate unikaalsete IP-aadresside arv kasvas vaid 200 tunni jooksul enam kui 24-ni.
Nende rünnakute eest kaitsmine muutub 007 filmi vääriliseks võidujooksuks ajaga. Kell tiksub ja teil ei ole palju aega plaastri kasutuselevõtmiseks ja ohu "hävitamiseks", enne kui on liiga hilja. Kuid kõigepealt peate teadma, et käimas on ärakasutamine. See nõuab ennetavat, mitmekihilist lähenemist võrguturbele, mis põhineb null usaldusel.
Kuidas need kihid välja näevad? Mõelge järgmistele tavadele, mida turvameeskonnad ja nende kolmandatest osapooltest veebirakenduste ja infrastruktuuri partnerid peaksid teadma.
Jälgige haavatavuse hoidlaid
Massilise haavatavuse skannimise tööriistad, nagu Nuclei kogukonnapõhine skanner või Metasploit läbitungimistestid on turvameeskondade jaoks populaarsed tööriistad. Need on populaarsed ka halbade näitlejate seas, kes otsivad kontseptsiooni tõestavat ärakasutamiskoodi, mis aitaks neil soomuspragusid uurida. Nende hoidlate jälgimine uute mallide jaoks, mis võivad olla kavandatud potentsiaalsete ärakasutamise sihtmärkide tuvastamiseks, on oluline samm, et säilitada teadlikkus võimalikest ohtudest ja olla sammu võrra ees mustadest mütsidest.
Kasutage oma WAF-i maksimumi
Mõned võivad osutada Veebirakenduste tulemüürid (WAF-id) on nullpäevarünnakute vastu ebaefektiivsed, kuid need võivad siiski mängida rolli ohu leevendamisel. Lisaks liikluse filtreerimisele teadaolevate rünnakute korral saab uue haavatavuse tuvastamisel WAF-i kasutada "virtuaalse paiga" kiireks juurutamiseks, luues kohandatud reegli, mis takistab nullpäevast ärakasutamist ja annab teile töötamise ajal hingamisruumi. püsiva plaastri rakendamiseks. Sellel kui pikaajalisel lahendusel on mõned varjuküljed, mis võivad mõjutada jõudlust, kuna reeglid vohavad uute ohtude vastu võitlemiseks. Kuid see on võime, mida tasub teie kaitsearsenalis omada.
Jälgige kliendi mainet
Rünnakute, sealhulgas nullpäevasündmuste analüüsimisel on tavaline, et need kasutavad kasuliku koormuse edastamiseks paljusid samu kahjustatud IP-sid – avatud puhverserveritest halvasti kaitstud asjade Interneti-seadmeteni. Kliendi mainekaitsesüsteem, mis blokeerib nendest allikatest pärineva kahtlase liikluse, võib pakkuda veel ühe kaitsekihi nullpäevarünnakute eest. Kliendi maineandmebaasi haldamine ja värskendamine ei ole väike ülesanne, kuid see võib märkimisväärselt vähendada riski, et ärakasutamine pääseb juurde.
Kontrollige oma liikluse määra
IP-d, mis teid liiklust segavad, võivad olla vihje rünnakule. Nende IP-de välja filtreerimine on veel üks viis rünnakupinna vähendamiseks. Kuigi nutikad ründajad võivad tuvastamise vältimiseks levitada oma ärakasutusi paljude erinevate IP-de vahel, võib kiiruse juhtimine aidata välja filtreerida rünnakud, mis ei lähe nii pikaks.
Ettevaatust robotite eest
Ründajad kasutavad skripte, brauseri jäljendajaid ja muid salaviise, et jäljendada tõelist elavat inimest, kes veebisaidile sisse logib. Mingisuguse automaatse robotikaitse rakendamine, mis käivitub, kui tuvastab ebanormaalse päringukäitumise, võib olla riskide vähendamisel väga väärtuslik.
Ärge jätke tähelepanuta väljaminevat tegevust
Levinud stsenaarium ründajatele, kes üritavad koodi kaugkäivitamine (RCE) läbitungimistesti eesmärk on saata sihtveebiserverisse käsk ribavälise signaalimise teostamiseks, et teha väljaminev DNS-kõne ründaja juhitavale majakadomeenile. Kui server helistab, bingo - nad leidsid haavatavuse. Väljamineva liikluse jälgimine süsteemidest, mis ei tohiks seda liiklust tekitada, on sageli tähelepanuta jäetud viis ohu tuvastamiseks. See võib aidata tuvastada ka kõrvalekaldeid, millest WAF märkas, kui päring tuli sissetuleva liiklusena.
Sequester tuvastatud rünnakuseansid
Nullpäevarünnakud ei ole tavaliselt "üks ja tehtud" ettepanek; teid võidakse aktiivse rünnakuseansi käigus korduvalt sihikule võtta. Nende korduvate rünnakute tuvastamise ja nende automaatse eraldamise viis mitte ainult ei vähenda riski, vaid võib pakkuda ka rünnakuseansside auditeeritavat logi. See „lõksu ja jälitamise” võimalus on kohtuekspertiisi analüüsi jaoks väga kasulik.
Sisaldab lööklaine raadiust
Mitmekihiline kaitse seisneb riski minimeerimises. Kuid te ei pruugi täielikult välistada võimalust, et nullpäevane ärakasutamine võib läbi kukkuda. Sel juhul on ohu ohjeldamiseks mõeldud plokkide olemasolu ülioluline. Mingil kujul mikrosegmenteerimise rakendamine aitab vältida külgsuunalist liikumist, kübertapmise ahela katkestamist, "löökide raadiuse" piiramist ja rünnaku mõju leevendamist.
Nullpäevarünnakute eest kaitsmiseks pole ühtset maagilist valemit. Kuid erinevate kaitsestrateegiate ja -taktikate koordineeritud (ja ideaaljuhul automatiseeritud) rakendamine võib aidata teie ohupinda minimeerida. Siin kirjeldatud aluste katmine võib oluliselt tugevdada teie kaitsevõimet ja aidata minimeerida meeskonna moraali kahjustavaid tuleõppusi.
