Nollapäivän puolustus: vinkkejä uhan poistamiseen

Viime Atlassian yhtymäkohta koodin etäsuoritusvirhe on vain uusin esimerkki nollapäivän uhista, jotka kohdistuvat tärkeimpien infrastruktuurin tarjoajien kriittisiin haavoittuvuuksiin. Erityinen uhka, Object-Graph Navigation Language (OGNL) -injektio, on ollut olemassa vuosia, mutta se on saanut uuden merkityksen Atlassian-hyödynnyksen laajuuden vuoksi. Ja OGNL-hyökkäykset ovat kasvussa.

Kun pahat toimijat löytävät tällaisen haavoittuvuuden, proof-of-concept -hyökkäykset alkavat koputtaa ovelle, etsimällä todentamatonta pääsyä uusien järjestelmänvalvojatilien luomiseen, etäkomentojen suorittamiseen ja palvelimien hallintaan. Atlassian-tapauksessa Akamain uhkatutkimusryhmä havaitsi, että näitä hyväksikäyttöjä yrittävien yksilöllisten IP-osoitteiden määrä kasvoi yli 200:aan vain 24 tunnissa.

Näitä hyökkäyksiä vastaan ​​puolustamisesta tulee 007-elokuvan arvoista kilpajuoksua aikaa vastaan. Kello tikittää, eikä sinulla ole paljon aikaa ottaa korjaustiedosto käyttöön ja "purkaa" uhka ennen kuin on liian myöhäistä. Mutta ensin sinun on tiedettävä, että hyväksikäyttö on käynnissä. Tämä edellyttää ennakoivaa, monitasoista lähestymistapaa verkkoturvallisuuteen, joka perustuu nollaluottamukseen.

Miltä nämä kerrokset näyttävät? Harkitse seuraavia käytäntöjä, jotka tietoturvatiimien – ja niiden kolmannen osapuolen verkkosovellus- ja infrastruktuurikumppaneiden – tulisi olla tietoisia.

Valvo haavoittuvuusvarastot

Massahaavoittuvuuksien tarkistustyökalut, kuten Nuclein yhteisöpohjainen skanneri tai Metasploit penetraatiotestaus ovat suosittuja työkaluja tietoturvatiimeille. Ne ovat myös suosittuja huonojen näyttelijöiden keskuudessa, jotka etsivät proof-of-konseptin hyväksikäyttökoodia, joka auttaa heitä tutkimaan haarniskan halkeamia. Näiden arkistojen seuraaminen uusien mallien varalta, jotka voidaan suunnitella tunnistamaan mahdolliset hyväksikäyttökohteet, on tärkeä askel pyrittäessä ylläpitämään tietoisuutta mahdollisista uhkista ja pysymään askeleen edellä mustia hattuja.

Ota kaikki irti WAFistasi

Jotkut saattavat viitata Web-sovelluksen palomuurit (WAF) tehottomia nollapäivähyökkäyksiä vastaan, mutta niillä voi silti olla rooli uhan lieventämisessä. Sen lisäksi, että WAF suodattaa liikenteen tunnettujen hyökkäysten varalta, kun uusi haavoittuvuus tunnistetaan, WAF:a voidaan käyttää "virtuaalisen korjaustiedoston" nopeaan käyttöönottoon, jolloin luodaan mukautettu sääntö, joka estää nollapäivän hyväksikäytön ja antaa sinulle hengähdystaukoa työskennellessäsi. ottaa käyttöön pysyvä korjaustiedosto. Tällä pitkän aikavälin ratkaisulla on joitain huonoja puolia, jotka voivat vaikuttaa suorituskykyyn, kun säännöt lisääntyvät uusien uhkien torjumiseksi. Mutta se on puolustusarsenaalissasi oleva kyky.

Tarkkaile asiakkaan mainetta

Analysoitaessa hyökkäyksiä, mukaan lukien nollapäivän tapahtumia, on yleistä nähdä niiden käyttävän monia samoja vaarantuneita IP-osoitteita – avoimista välityspalvelimista huonosti suojattuihin IoT-laitteisiin – hyötykuormien toimittamiseen. Asiakkaan maineen suojaaminen, joka estää näistä lähteistä peräisin olevan epäilyttävän liikenteen, voi tarjota yhden lisäsuojan nollapäivähyökkäyksiä vastaan. Asiakkaan mainetietokannan ylläpito ja päivittäminen ei ole pieni tehtävä, mutta se voi vähentää merkittävästi riskiä, ​​että hyväksikäyttö pääsee käsiksi.

Hallitse liikennemaksujasi

IP-osoitteet, jotka häiritsevät sinua liikenteessä, voivat olla vihje hyökkäykselle. Näiden IP-osoitteiden suodattaminen on toinen tapa vähentää hyökkäyspintaa. Vaikka älykkäät hyökkääjät voivat jakaa hyökkäyksiään useille eri IP-osoitteille havaitsemisen välttämiseksi, nopeuden hallinta voi auttaa suodattamaan hyökkäykset, jotka eivät mene niin pitkiin.

Varo botteja

Hyökkääjät käyttävät komentosarjoja, selaimen jäljitelmiä ja muita keinotekoisia keinoja jäljitellä todellista elävää henkilöä, joka kirjautuu verkkosivustolle. Jonkinlaisen automatisoidun bot-suojauksen käyttöönotto, joka laukeaa havaitessaan poikkeavaa pyyntökäyttäytymistä, voi olla erittäin arvokasta riskin vähentämisessä.

Älä unohda lähtevää toimintaa

Yleinen skenaario hyökkääjille, jotka yrittävät koodin etäsuorittaminen (RCE) läpäisytestauksen tarkoituksena on lähettää kohdeverkkopalvelimelle komento kaistan ulkopuolisen signaloinnin suorittamiseksi lähtevän DNS-puhelun tekemiseksi hyökkääjän hallitsemaan beaconing-toimialueeseen. Jos palvelin soittaa, bingo - he löysivät haavoittuvuuden. Lähtevän liikenteen valvonta järjestelmistä, joiden ei pitäisi synnyttää tätä liikennettä, on usein huomiotta jätetty tapa havaita uhka. Tämä voi myös auttaa havaitsemaan poikkeamat, jotka WAF ei ole huomannut, kun pyyntö tuli saapuvana liikenteenä.

Sequester Identified Attack Sessions

Nollapäivän hyökkäykset eivät yleensä ole "yksi ja tehty" ehdotus; voit joutua kohteena toistuvasti osana aktiivista hyökkäysistuntoa. Näiden toistuvien hyökkäysten havaitseminen ja niiden automaattinen eristäminen ei vain vähennä riskiä, ​​vaan se voi myös tarjota tarkastettavan lokin hyökkäysistunnoista. Tämä "ansa ja jäljitys" -ominaisuus on todella hyödyllinen rikosteknisessä analyysissä.

Sisällytä räjähdyssäde

Monikerroksinen puolustus on riskien minimoimista. Mutta et ehkä pysty täysin eliminoimaan mahdollisuutta, että nollapäivän hyväksikäyttö voi mennä läpi. Siinä tapauksessa on tärkeää, että uhan hillitsemiseksi on esteitä. Jonkinlaisen mikrosegmentoinnin toteuttaminen auttaa estämään sivuttaisliikkeet, katkaisemaan kybertappamisketjun, rajoittamaan "räjäytyksen sädettä" ja lieventämään hyökkäyksen vaikutuksia.

Nollapäivän hyökkäyksiä vastaan ​​puolustautumiseen ei ole yhtä maagista kaavaa. Mutta useiden puolustusstrategioiden ja taktiikoiden soveltaminen koordinoidulla (ja mieluiten automatisoidulla) tavalla voi auttaa minimoimaan uhkapinnan. Tässä hahmoteltujen tukikohtien peittäminen voi merkittävästi vahvistaa puolustustasi ja auttaa minimoimaan joukkueen moraalia heikentäviä paloharjoituksia.