دفاع در روز صفر: نکاتی برای خنثی کردن تهدید

اخیر تلاقی آتلاسیان اشکال اجرای کد از راه دور تنها آخرین نمونه از تهدیدات روز صفر است که آسیب پذیری های حیاتی را در ارائه دهندگان زیرساخت اصلی هدف قرار می دهد. تهدید خاص، تزریق زبان ناوبری Object-Graph (OGNL) سالهاست که وجود داشته است اما با توجه به دامنه بهره برداری Atlassian اهمیت جدیدی پیدا کرده است. و حملات OGNL در حال افزایش است.

هنگامی که بازیگران بد چنین آسیب‌پذیری را پیدا می‌کنند، سوء استفاده‌های اثبات مفهوم شروع به ضربه زدن به در می‌کنند، به دنبال دسترسی غیرقانونی برای ایجاد حساب‌های مدیریت جدید، اجرای دستورات از راه دور و کنترل سرورها هستند. در مورد Atlassian، تیم تحقیقاتی تهدید Akamai شناسایی کرد که تعداد آدرس‌های IP منحصربه‌فردی که این سوءاستفاده‌ها را انجام می‌دهند، در عرض 200 ساعت به بیش از 24 رسید.

دفاع در برابر این سوء استفاده ها به مسابقه ای با زمان تبدیل می شود که ارزش فیلم 007 را دارد. ساعت در حال تیک تیک است و شما زمان زیادی برای اجرای یک پچ و "خنثی کردن" تهدید قبل از اینکه خیلی دیر شود ندارید. اما ابتدا باید بدانید که یک اکسپلویت در حال انجام است. این نیاز به یک رویکرد فعال و چند لایه برای امنیت آنلاین مبتنی بر اعتماد صفر دارد.

این لایه ها چه شکلی هستند؟ اقدامات زیر را در نظر بگیرید که تیم های امنیتی - و برنامه های کاربردی وب و شرکای زیرساخت شخص ثالث آنها - باید از آنها آگاه باشند.

نظارت بر مخازن آسیب پذیری

ابزارهای اسکن آسیب پذیری انبوه مانند اسکنر مبتنی بر جامعه Nuclei یا Metasploit تست نفوذ ابزار محبوبی برای تیم های امنیتی است. آنها همچنین در میان بازیگران بدی که به دنبال کد سوء استفاده اثبات شده هستند که به آنها کمک می کند تا شکاف های موجود در زره را بررسی کنند، محبوب هستند. نظارت بر این مخازن برای الگوهای جدیدی که ممکن است برای شناسایی اهداف سوءاستفاده بالقوه طراحی شوند، گام مهمی برای حفظ آگاهی از تهدیدات بالقوه و یک قدم جلوتر از کلاه سیاه است.

از WAF خود نهایت استفاده را ببرید

برخی ممکن است اشاره کنند فایروال برنامه های وب (WAFs) در برابر حملات روز صفر ناکارآمد هستند، اما همچنان می توانند در کاهش تهدید نقش داشته باشند. علاوه بر فیلتر کردن ترافیک برای حملات شناخته شده، زمانی که آسیب‌پذیری جدیدی شناسایی می‌شود، می‌توان از یک WAF برای پیاده‌سازی سریع یک «وصله مجازی» استفاده کرد، که یک قانون سفارشی برای جلوگیری از سوءاستفاده‌های روز صفر ایجاد می‌کند و به شما فضای تنفسی در حین کار می‌دهد. برای پیاده سازی یک پچ دائمی این به عنوان یک راه‌حل بلندمدت دارای نکات منفی است که به‌طور بالقوه بر عملکرد تأثیر می‌گذارد، زیرا قوانین برای مقابله با تهدیدات جدید زیاد می‌شوند. اما این قابلیتی است که ارزش داشتن در زرادخانه دفاعی شما را دارد.

نظارت بر شهرت مشتری

هنگام تجزیه و تحلیل حملات، از جمله رویدادهای روز صفر، معمولاً مشاهده می شود که از بسیاری از IP های در معرض خطر یکسان - از پروکسی های باز گرفته تا دستگاه های اینترنت اشیا با محافظت ضعیف - برای تحویل بارهای خود استفاده می کنند. داشتن دفاع از شهرت مشتری که ترافیک مشکوک ناشی از این منابع را مسدود می کند، می تواند یک لایه دفاعی بیشتر در برابر حملات روز صفر ایجاد کند. نگهداری و به روز رسانی پایگاه داده شهرت مشتری کار کوچکی نیست، اما می تواند به طور چشمگیری خطر دسترسی یک اکسپلویت را کاهش دهد.

نرخ ترافیک خود را کنترل کنید

IP هایی که شما را با ترافیک مواجه می کنند می توانند هشداری برای حمله باشند. فیلتر کردن این IP ها راه دیگری برای کاهش سطح حمله شما است. در حالی که مهاجمان هوشمند ممکن است اکسپلویت های خود را در بسیاری از IP های مختلف توزیع کنند تا از شناسایی جلوگیری کنند، کنترل نرخ می تواند به فیلتر کردن حملاتی که تا این حد طولانی نمی شوند کمک کند.

مراقب ربات ها باشید

مهاجمان از اسکریپت ها، جعل هویت های مرورگر و دیگر عوامل فرعی برای تقلید از یک شخص واقعی و زنده که وارد یک وب سایت می شود استفاده می کنند. پیاده‌سازی نوعی از دفاع خودکار ربات که وقتی رفتار درخواست غیرعادی را تشخیص می‌دهد آغاز می‌شود، می‌تواند در کاهش ریسک بسیار ارزشمند باشد.

از فعالیت های بیرونی غافل نشوید

یک سناریوی رایج برای حمله مهاجمان اجرای کد از راه دور تست نفوذ (RCE) ارسال فرمانی به وب سرور مورد نظر برای انجام سیگنالینگ خارج از باند برای برقراری یک تماس DNS خروجی به یک دامنه beaconing است که توسط مهاجم کنترل می شود. اگر سرور تماس را برقرار کند، یکنوع بازی شبیه لوتو - آنها یک آسیب پذیری پیدا کردند. نظارت بر ترافیک خروجی از سیستم هایی که نباید آن ترافیک را ایجاد کنند، راهی است که اغلب نادیده گرفته می شود تا یک تهدید را شناسایی کند. این همچنین می‌تواند به شناسایی هر گونه ناهنجاری‌هایی که WAF هنگام ارسال درخواست به عنوان ترافیک ورودی از دست داده است کمک کند.

Sequester Identified Attack Sessions

حملات روز صفر معمولاً یک پیشنهاد "یک و تمام" نیستند. ممکن است به عنوان بخشی از یک جلسه حمله فعال بارها و بارها مورد هدف قرار بگیرید. وجود راهی برای شناسایی این حملات تکراری و جداسازی خودکار آنها نه تنها خطر را کاهش می‌دهد، بلکه می‌تواند یک گزارش قابل بازرسی از جلسات حمله نیز ارائه کند. این قابلیت "تله و ردیابی" برای تجزیه و تحلیل پزشکی قانونی واقعا مفید است.

شامل شعاع انفجار

دفاع چندلایه در مورد به حداقل رساندن خطر است. اما ممکن است نتوانید به طور کامل این شانس را که یک اکسپلویت روز صفر می تواند از بین ببرید. در این صورت داشتن بلوک هایی برای مهار تهدید بسیار مهم است. اجرای نوعی ریزبخشی به جلوگیری از حرکت جانبی، مختل کردن زنجیره کشتار سایبری، محدود کردن "شعاع انفجار" و کاهش تاثیر حمله کمک می کند.

هیچ فرمول جادویی واحدی برای دفاع در برابر حملات روز صفر وجود ندارد. اما استفاده از طیف وسیعی از استراتژی‌ها و تاکتیک‌های دفاعی به صورت هماهنگ (و در حالت ایده‌آل، خودکار) می‌تواند به به حداقل رساندن سطح تهدید شما کمک کند. پوشاندن پایه های ذکر شده در اینجا می تواند کمک زیادی به تقویت سیستم دفاعی شما کند و به به حداقل رساندن تمرینات آتش که روحیه تیم را تضعیف می کند کمک کند.