हाल का एटलसियन कॉन्फ्लुएंस रिमोट कोड निष्पादन बग शून्य-दिन के खतरों का नवीनतम उदाहरण है जो प्रमुख आधारभूत संरचना प्रदाताओं के भीतर महत्वपूर्ण कमजोरियों को लक्षित करता है। विशिष्ट खतरा, एक ऑब्जेक्ट-ग्राफ नेविगेशन लैंग्वेज (OGNL) इंजेक्शन, लगभग वर्षों से है, लेकिन एटलसियन शोषण के दायरे को देखते हुए नया महत्व ले लिया। और ओजीएनएल के हमले बढ़ रहे हैं।
एक बार बुरे अभिनेताओं को इस तरह की भेद्यता मिल जाती है, तो प्रूफ-ऑफ-कॉन्सेप्ट कारनामे दरवाजे पर दस्तक देना शुरू कर देते हैं, नए एडमिन अकाउंट बनाने के लिए अनधिकृत पहुंच की मांग करते हैं, रिमोट कमांड निष्पादित करते हैं और सर्वर पर कब्जा कर लेते हैं। एटलसियन मामले में, अकामाई की थ्रेट रिसर्च टीम ने पाया कि इन कारनामों का प्रयास करने वाले अद्वितीय आईपी पतों की संख्या केवल 200 घंटों के भीतर 24 से अधिक हो गई।
इन कारनामों के खिलाफ बचाव एक 007 फिल्म के लायक समय के खिलाफ दौड़ बन जाता है। घड़ी की टिक-टिक चल रही है और आपके पास पैच लागू करने के लिए अधिक समय नहीं है और इससे पहले कि बहुत देर हो जाए खतरे को "निराश" कर दें। लेकिन पहले आपको यह जानना होगा कि एक शोषण चल रहा है। शून्य भरोसे पर आधारित ऑनलाइन सुरक्षा के लिए एक सक्रिय, बहुस्तरीय दृष्टिकोण की आवश्यकता है।
ये परतें कैसी दिखती हैं? निम्नलिखित प्रथाओं पर विचार करें कि सुरक्षा टीमों - और उनके तृतीय-पक्ष वेब एप्लिकेशन और इंफ्रास्ट्रक्चर भागीदारों - को जागरूक होना चाहिए।
भेद्यता भंडारों की निगरानी करें
बड़े पैमाने पर भेद्यता स्कैनिंग उपकरण जैसे कि न्यूक्ली का समुदाय-आधारित स्कैनर या Metasploit पैठ परीक्षण सुरक्षा टीमों के लिए लोकप्रिय उपकरण हैं। वे बुरे अभिनेताओं के बीच भी लोकप्रिय हैं जो प्रूफ-ऑफ-कॉन्सेप्ट शोषण कोड की तलाश कर रहे हैं जो उन्हें कवच में दरार की जांच करने में मदद करेगा। संभावित शोषण लक्ष्यों की पहचान करने के लिए डिज़ाइन किए जा सकने वाले नए टेम्प्लेट के लिए इन रिपॉजिटरी की निगरानी करना संभावित खतरों के बारे में जागरूकता बनाए रखने और ब्लैक हैट्स से एक कदम आगे रहने के लिए एक महत्वपूर्ण कदम है।
अपने WAF का अधिकतम लाभ उठाएं
कुछ इशारा कर सकते हैं वेब अनुप्रयोग फ़ायरवॉल (डब्ल्यूएएफ) जीरो-डे हमलों के खिलाफ अप्रभावी हैं, लेकिन फिर भी वे खतरे को कम करने में भूमिका निभा सकते हैं। ज्ञात हमलों के लिए ट्रैफ़िक को फ़िल्टर करने के अलावा, जब एक नई भेद्यता की पहचान की जाती है, तो "वर्चुअल पैच" को जल्दी से लागू करने के लिए एक WAF का उपयोग किया जा सकता है, जो शून्य-दिन के शोषण को रोकने के लिए एक कस्टम नियम बनाता है और आपको काम करने के दौरान कुछ सांस लेने की जगह देता है। एक स्थायी पैच लागू करने के लिए। लंबी अवधि के समाधान के रूप में इसके कुछ नकारात्मक पहलू हैं, संभावित रूप से प्रदर्शन को प्रभावित कर रहे हैं क्योंकि नए खतरों का मुकाबला करने के लिए नियम बढ़ते जा रहे हैं। लेकिन यह आपके रक्षात्मक शस्त्रागार में होने लायक क्षमता है।
ग्राहक प्रतिष्ठा की निगरानी करें
शून्य-दिन की घटनाओं सहित हमलों का विश्लेषण करते समय, उन्हें अपने पेलोड वितरित करने के लिए - खुले प्रॉक्सी से खराब संरक्षित आईओटी उपकरणों तक - समान समझौता किए गए आईपी में से कई का उपयोग करना आम है। एक ग्राहक प्रतिष्ठा रक्षा होने से जो इन स्रोतों से उत्पन्न होने वाले संदिग्ध ट्रैफ़िक को रोकता है, शून्य-दिन के हमलों से बचाव की एक और परत प्रदान कर सकता है। क्लाइंट प्रतिष्ठा डेटाबेस को बनाए रखना और अपडेट करना कोई छोटा काम नहीं है, लेकिन यह किसी शोषण के एक्सेस प्राप्त करने के जोखिम को नाटकीय रूप से कम कर सकता है।
अपनी ट्रैफ़िक दरों को नियंत्रित करें
IP जो आपको ट्रैफ़िक से प्रभावित कर रहे हैं, किसी हमले की सूचना हो सकती है। उन आईपी को फ़िल्टर करना आपके हमले की सतह को कम करने का एक और तरीका है। जबकि स्मार्ट हमलावर पहचान से बचने के लिए अपने कारनामों को कई अलग-अलग आईपी में वितरित कर सकते हैं, दर नियंत्रण उन हमलों को फ़िल्टर करने में मदद कर सकता है जो इतनी लंबाई तक नहीं जाते हैं।
बॉट्स से सावधान रहें
हमलावर एक वेबसाइट पर लॉग इन करने वाले एक वास्तविक, जीवित व्यक्ति की नकल करने के लिए स्क्रिप्ट, ब्राउज़र प्रतिरूपणकर्ता और अन्य छल का उपयोग करते हैं। स्वचालित बॉट रक्षा के कुछ प्रकार को कार्यान्वित करना जो असामान्य अनुरोध व्यवहार का पता लगाने पर ट्रिगर करता है, जोखिम को कम करने में बेहद मूल्यवान हो सकता है।
आउटबाउंड गतिविधि को नज़रअंदाज़ न करें
प्रयास करने वाले हमलावरों के लिए एक सामान्य परिदृश्य रिमोट कोड निष्पादन (RCE) पैठ परीक्षण हमलावर द्वारा नियंत्रित बीकनिंग डोमेन के लिए आउटबाउंड DNS कॉल करने के लिए आउट-ऑफ-बैंड सिग्नलिंग करने के लिए लक्ष्य वेब सर्वर को एक कमांड भेजना है। यदि सर्वर कॉल करता है, बिंगो — उन्हें भेद्यता मिली। सिस्टम से आउटबाउंड ट्रैफ़िक की निगरानी करना जो उस ट्रैफ़िक को उत्पन्न नहीं करना चाहिए, एक खतरे का पता लगाने के लिए अक्सर अनदेखा किया जाने वाला तरीका है। यह आने वाले ट्रैफ़िक के रूप में अनुरोध आने पर WAF द्वारा छोड़ी गई किसी भी विसंगति का पता लगाने में भी मदद कर सकता है।
सीक्वेस्टर ने अटैक सेशंस की पहचान की
शून्य-दिन के हमले आमतौर पर "एक और किया हुआ" प्रस्ताव नहीं होते हैं; एक सक्रिय आक्रमण सत्र के भाग के रूप में आपको बार-बार निशाना बनाया जा सकता है। इन बार-बार होने वाले हमलों को पहचानने और स्वचालित रूप से उन्हें अनुक्रमित करने का एक तरीका होने से न केवल जोखिम कम हो जाता है, बल्कि यह हमले के सत्रों का एक श्रव्य लॉग भी प्रदान कर सकता है। यह "ट्रैप एंड ट्रेस" क्षमता फोरेंसिक विश्लेषण के लिए वास्तव में उपयोगी है।
ब्लास्ट त्रिज्या को शामिल करें
बहुस्तरीय रक्षा जोखिम को कम करने के बारे में है। लेकिन हो सकता है कि आप इस संभावना को पूरी तरह से खत्म न कर पाएं कि एक शून्य-दिन का फायदा उठा सकता है। उस स्थिति में, खतरे को नियंत्रित करने के लिए ब्लॉकों का होना महत्वपूर्ण है। किसी प्रकार के माइक्रोसेगमेंटेशन को लागू करने से पार्श्व गति को रोकने में मदद मिलेगी, साइबर हत्या श्रृंखला को बाधित करने, "विस्फोट त्रिज्या" को सीमित करने और हमले के प्रभाव को कम करने में मदद मिलेगी।
जीरो-डे अटैक से बचाव के लिए कोई एक जादुई फॉर्मूला नहीं है। लेकिन एक समन्वित (और, आदर्श रूप से, स्वचालित) तरीके से रक्षात्मक रणनीतियों और रणनीति की एक श्रृंखला को लागू करने से आपकी खतरे की सतह को कम करने में मदद मिल सकती है। यहां उल्लिखित आधारों को कवर करना आपके बचाव को मजबूत करने के लिए एक लंबा रास्ता तय कर सकता है और टीम के मनोबल को कम करने वाले फायर ड्रिल को कम करने में मदद कर सकता है।
