La récente Confluence Atlassienne Le bogue d'exécution de code à distance n'est que le dernier exemple de menaces zero-day ciblant des vulnérabilités critiques au sein des principaux fournisseurs d'infrastructure. La menace spécifique, une injection d'Object-Graph Navigation Language (OGNL), existe depuis des années, mais a pris une nouvelle importance compte tenu de l'ampleur de l'exploit Atlassian. Et les attaques OGNL sont en augmentation.
Une fois que les acteurs malveillants ont découvert une telle vulnérabilité, les exploits de preuve de concept commencent à frapper à la porte, cherchant un accès non authentifié pour créer de nouveaux comptes d'administrateur, exécuter des commandes à distance et prendre le contrôle des serveurs. Dans le cas d'Atlassian, l'équipe de recherche sur les menaces d'Akamai a identifié que le nombre d'adresses IP uniques tentant ces exploits est passé à plus de 200 en seulement 24 heures.
Se défendre contre ces exploits devient une course contre la montre digne d'un film 007. Le temps presse et vous n'avez pas beaucoup de temps pour mettre en œuvre un correctif et « désamorcer » la menace avant qu'il ne soit trop tard. Mais vous devez d'abord savoir qu'un exploit est en cours. Cela nécessite une approche proactive et multicouche de la sécurité en ligne basée sur la confiance zéro.
A quoi ressemblent ces couches ? Tenez compte des pratiques suivantes que les équipes de sécurité (et leurs partenaires d'application et d'infrastructure Web tiers) doivent connaître.
Surveiller les référentiels de vulnérabilités
Des outils d'analyse de vulnérabilité de masse comme le scanner communautaire de Nuclei ou Metasploit Les tests d'intrusion sont des outils populaires pour les équipes de sécurité. Ils sont également populaires parmi les mauvais acteurs qui recherchent un code d'exploitation de preuve de concept qui les aidera à rechercher des fissures dans l'armure. La surveillance de ces référentiels pour les nouveaux modèles qui peuvent être conçus pour identifier les cibles d'exploitation potentielles est une étape importante pour maintenir la sensibilisation aux menaces potentielles et garder une longueur d'avance sur les chapeaux noirs.
Tirez le meilleur parti de votre WAF
Certains peuvent pointer vers Pare-feu d'applications Web (WAF) comme inefficaces contre les attaques zero-day, mais ils peuvent quand même jouer un rôle dans l'atténuation de la menace. En plus de filtrer le trafic pour les attaques connues, lorsqu'une nouvelle vulnérabilité est identifiée, un WAF peut être utilisé pour implémenter rapidement un "correctif virtuel", créant une règle personnalisée pour empêcher un exploit du jour zéro et vous donner un peu de répit pendant que vous travaillez. pour implémenter un correctif permanent. Cette solution à long terme présente certains inconvénients, affectant potentiellement les performances à mesure que les règles prolifèrent pour contrer les nouvelles menaces. Mais c'est une capacité qu'il vaut la peine d'avoir dans votre arsenal défensif.
Surveiller la réputation des clients
Lors de l'analyse d'attaques, y compris d'événements zero-day, il est courant de les voir utiliser bon nombre des mêmes adresses IP compromises - des proxies ouverts aux appareils IoT mal protégés - pour livrer leurs charges utiles. Disposer d'une défense de la réputation du client qui bloque le trafic suspect provenant de ces sources peut fournir une couche supplémentaire de défense contre les attaques de type « zero-day ». Maintenir et mettre à jour une base de données de réputation client n'est pas une mince tâche, mais cela peut réduire considérablement le risque qu'un exploit obtienne l'accès.
Contrôlez vos taux de trafic
Les adresses IP qui vous submergent de trafic peuvent être un indice d'une attaque. Filtrer ces adresses IP est un autre moyen de réduire votre surface d'attaque. Alors que les attaquants intelligents peuvent distribuer leurs exploits sur de nombreuses adresses IP différentes pour éviter la détection, le contrôle du débit peut aider à filtrer les attaques qui ne vont pas aussi loin.
Méfiez-vous des robots
Les attaquants utilisent des scripts, des imitateurs de navigateur et d'autres subterfuges pour imiter une personne réelle et vivante se connectant à un site Web. La mise en œuvre d'une forme de défense automatisée contre les bots qui se déclenche lorsqu'elle détecte un comportement de requête anormal peut être extrêmement utile pour atténuer les risques.
Ne négligez pas l'activité sortante
Un scénario courant pour les attaquants qui tentent exécution de code à distance (RCE) le test de pénétration consiste à envoyer une commande au serveur Web cible pour effectuer une signalisation hors bande afin de passer un appel DNS sortant vers un domaine de balisage contrôlé par l'attaquant. Si le serveur passe l'appel, bingo - ils ont trouvé une vulnérabilité. La surveillance du trafic sortant à partir de systèmes qui ne devraient pas générer ce trafic est un moyen souvent négligé de détecter une menace. Cela peut également aider à repérer les anomalies que le WAF a manquées lorsque la demande est arrivée en tant que trafic entrant.
Séquestrer les sessions d'attaque identifiées
Les attaques zero-day ne sont généralement pas une proposition « one and done » ; vous pouvez être ciblé à plusieurs reprises dans le cadre d'une session d'attaque active. Avoir un moyen de repérer ces attaques répétées et de les séquestrer automatiquement réduit non seulement les risques, mais peut également fournir un journal vérifiable des sessions d'attaque. Cette capacité « piéger et tracer » est vraiment utile pour l'analyse médico-légale.
Contenir le rayon de souffle
La défense multicouche consiste à minimiser les risques. Mais vous ne pourrez peut-être pas éliminer complètement le risque qu'un exploit zero-day puisse passer. Dans ce cas, il est essentiel de disposer de blocs pour contenir la menace. La mise en œuvre d'une certaine forme de microsegmentation aidera à empêcher les mouvements latéraux, à perturber la chaîne de destruction cybernétique, à limiter le "rayon de l'explosion" et à atténuer l'impact d'une attaque.
Il n'existe pas de formule magique unique pour se défendre contre les attaques zero-day. Mais l'application d'une gamme de stratégies et de tactiques défensives de manière coordonnée (et, idéalement, automatisée) peut aider à minimiser votre surface de menace. Couvrir les bases décrites ici peut grandement contribuer à renforcer vos défenses et aider à minimiser les exercices d'incendie qui érodent le moral de l'équipe.
- blockchain
- portefeuilles de crypto-monnaie
- cryptoexchange
- la cyber-sécurité
- les cybercriminels
- Cybersécurité
- Lecture sombre
- département de la Sécurité intérieure
- portefeuilles numériques
- pare-feu
- Kaspersky
- malware
- Mcafee
- NexBLOC
- Platon
- platon ai
- Intelligence des données Platon
- Jeu de Platon
- PlatonDonnées
- jeu de platogamie
- VPN
- la sécurité d'un site web
