اخیر تلاقی آتلاسیان اشکال اجرای کد از راه دور تنها آخرین نمونه از تهدیدات روز صفر است که آسیب پذیری های حیاتی را در ارائه دهندگان زیرساخت اصلی هدف قرار می دهد. تهدید خاص، تزریق زبان ناوبری Object-Graph (OGNL) سالهاست که وجود داشته است اما با توجه به دامنه بهره برداری Atlassian اهمیت جدیدی پیدا کرده است. و حملات OGNL در حال افزایش است.
هنگامی که بازیگران بد چنین آسیبپذیری را پیدا میکنند، سوء استفادههای اثبات مفهوم شروع به ضربه زدن به در میکنند، به دنبال دسترسی غیرقانونی برای ایجاد حسابهای مدیریت جدید، اجرای دستورات از راه دور و کنترل سرورها هستند. در مورد Atlassian، تیم تحقیقاتی تهدید Akamai شناسایی کرد که تعداد آدرسهای IP منحصربهفردی که این سوءاستفادهها را انجام میدهند، در عرض 200 ساعت به بیش از 24 رسید.
دفاع در برابر این سوء استفاده ها به مسابقه ای با زمان تبدیل می شود که ارزش فیلم 007 را دارد. ساعت در حال تیک تیک است و شما زمان زیادی برای اجرای یک پچ و "خنثی کردن" تهدید قبل از اینکه خیلی دیر شود ندارید. اما ابتدا باید بدانید که یک اکسپلویت در حال انجام است. این نیاز به یک رویکرد فعال و چند لایه برای امنیت آنلاین مبتنی بر اعتماد صفر دارد.
این لایه ها چه شکلی هستند؟ اقدامات زیر را در نظر بگیرید که تیم های امنیتی - و برنامه های کاربردی وب و شرکای زیرساخت شخص ثالث آنها - باید از آنها آگاه باشند.
نظارت بر مخازن آسیب پذیری
ابزارهای اسکن آسیب پذیری انبوه مانند اسکنر مبتنی بر جامعه Nuclei یا Metasploit تست نفوذ ابزار محبوبی برای تیم های امنیتی است. آنها همچنین در میان بازیگران بدی که به دنبال کد سوء استفاده اثبات شده هستند که به آنها کمک می کند تا شکاف های موجود در زره را بررسی کنند، محبوب هستند. نظارت بر این مخازن برای الگوهای جدیدی که ممکن است برای شناسایی اهداف سوءاستفاده بالقوه طراحی شوند، گام مهمی برای حفظ آگاهی از تهدیدات بالقوه و یک قدم جلوتر از کلاه سیاه است.
از WAF خود نهایت استفاده را ببرید
برخی ممکن است اشاره کنند فایروال برنامه های وب (WAFs) در برابر حملات روز صفر ناکارآمد هستند، اما همچنان می توانند در کاهش تهدید نقش داشته باشند. علاوه بر فیلتر کردن ترافیک برای حملات شناخته شده، زمانی که آسیبپذیری جدیدی شناسایی میشود، میتوان از یک WAF برای پیادهسازی سریع یک «وصله مجازی» استفاده کرد، که یک قانون سفارشی برای جلوگیری از سوءاستفادههای روز صفر ایجاد میکند و به شما فضای تنفسی در حین کار میدهد. برای پیاده سازی یک پچ دائمی این به عنوان یک راهحل بلندمدت دارای نکات منفی است که بهطور بالقوه بر عملکرد تأثیر میگذارد، زیرا قوانین برای مقابله با تهدیدات جدید زیاد میشوند. اما این قابلیتی است که ارزش داشتن در زرادخانه دفاعی شما را دارد.
نظارت بر شهرت مشتری
هنگام تجزیه و تحلیل حملات، از جمله رویدادهای روز صفر، معمولاً مشاهده می شود که از بسیاری از IP های در معرض خطر یکسان - از پروکسی های باز گرفته تا دستگاه های اینترنت اشیا با محافظت ضعیف - برای تحویل بارهای خود استفاده می کنند. داشتن دفاع از شهرت مشتری که ترافیک مشکوک ناشی از این منابع را مسدود می کند، می تواند یک لایه دفاعی بیشتر در برابر حملات روز صفر ایجاد کند. نگهداری و به روز رسانی پایگاه داده شهرت مشتری کار کوچکی نیست، اما می تواند به طور چشمگیری خطر دسترسی یک اکسپلویت را کاهش دهد.
نرخ ترافیک خود را کنترل کنید
IP هایی که شما را با ترافیک مواجه می کنند می توانند هشداری برای حمله باشند. فیلتر کردن این IP ها راه دیگری برای کاهش سطح حمله شما است. در حالی که مهاجمان هوشمند ممکن است اکسپلویت های خود را در بسیاری از IP های مختلف توزیع کنند تا از شناسایی جلوگیری کنند، کنترل نرخ می تواند به فیلتر کردن حملاتی که تا این حد طولانی نمی شوند کمک کند.
مراقب ربات ها باشید
مهاجمان از اسکریپت ها، جعل هویت های مرورگر و دیگر عوامل فرعی برای تقلید از یک شخص واقعی و زنده که وارد یک وب سایت می شود استفاده می کنند. پیادهسازی نوعی از دفاع خودکار ربات که وقتی رفتار درخواست غیرعادی را تشخیص میدهد آغاز میشود، میتواند در کاهش ریسک بسیار ارزشمند باشد.
از فعالیت های بیرونی غافل نشوید
یک سناریوی رایج برای حمله مهاجمان اجرای کد از راه دور تست نفوذ (RCE) ارسال فرمانی به وب سرور مورد نظر برای انجام سیگنالینگ خارج از باند برای برقراری یک تماس DNS خروجی به یک دامنه beaconing است که توسط مهاجم کنترل می شود. اگر سرور تماس را برقرار کند، یکنوع بازی شبیه لوتو - آنها یک آسیب پذیری پیدا کردند. نظارت بر ترافیک خروجی از سیستم هایی که نباید آن ترافیک را ایجاد کنند، راهی است که اغلب نادیده گرفته می شود تا یک تهدید را شناسایی کند. این همچنین میتواند به شناسایی هر گونه ناهنجاریهایی که WAF هنگام ارسال درخواست به عنوان ترافیک ورودی از دست داده است کمک کند.
Sequester Identified Attack Sessions
حملات روز صفر معمولاً یک پیشنهاد "یک و تمام" نیستند. ممکن است به عنوان بخشی از یک جلسه حمله فعال بارها و بارها مورد هدف قرار بگیرید. وجود راهی برای شناسایی این حملات تکراری و جداسازی خودکار آنها نه تنها خطر را کاهش میدهد، بلکه میتواند یک گزارش قابل بازرسی از جلسات حمله نیز ارائه کند. این قابلیت "تله و ردیابی" برای تجزیه و تحلیل پزشکی قانونی واقعا مفید است.
شامل شعاع انفجار
دفاع چندلایه در مورد به حداقل رساندن خطر است. اما ممکن است نتوانید به طور کامل این شانس را که یک اکسپلویت روز صفر می تواند از بین ببرید. در این صورت داشتن بلوک هایی برای مهار تهدید بسیار مهم است. اجرای نوعی ریزبخشی به جلوگیری از حرکت جانبی، مختل کردن زنجیره کشتار سایبری، محدود کردن "شعاع انفجار" و کاهش تاثیر حمله کمک می کند.
هیچ فرمول جادویی واحدی برای دفاع در برابر حملات روز صفر وجود ندارد. اما استفاده از طیف وسیعی از استراتژیها و تاکتیکهای دفاعی به صورت هماهنگ (و در حالت ایدهآل، خودکار) میتواند به به حداقل رساندن سطح تهدید شما کمک کند. پوشاندن پایه های ذکر شده در اینجا می تواند کمک زیادی به تقویت سیستم دفاعی شما کند و به به حداقل رساندن تمرینات آتش که روحیه تیم را تضعیف می کند کمک کند.