Az elmúlt Atlassai összefolyás A távoli kódvégrehajtási hiba csak a legújabb példa a nulladik napi fenyegetésekre, amelyek a fő infrastruktúra-szolgáltatók kritikus sebezhetőségeit célozzák. A konkrét fenyegetés, az Object-Graph Navigation Language (OGNL) befecskendezés már évek óta létezik, de az Atlassian kizsákmányolás hatóköre miatt új jelentőséget kapott. Az OGNL támadások pedig egyre szaporodnak.
Amint a rossz szereplők rátalálnak egy ilyen sebezhetőségre, a koncepcionális bizonyítási támadások kopogtatnak az ajtón, és hitelesítetlen hozzáférést keresnek új adminisztrátori fiókok létrehozásához, távoli parancsok végrehajtásához és szerverek átvételéhez. Az Atlassian-ügyben az Akamai fenyegetéskutató csoportja megállapította, hogy az ilyen támadásokat megkísérlő egyedi IP-címek száma mindössze 200 órán belül több mint 24-ra nőtt.
Az ezekkel a támadásokkal szembeni védekezés egy 007-es filmhez méltó versenyfutás az idővel. Az óra ketyeg, és nincs sok időd a javítások megvalósítására és a fenyegetés „hatástalanítására”, mielőtt túl késő lenne. De először tudnod kell, hogy kizsákmányolás van folyamatban. Ehhez az online biztonság proaktív, többrétegű megközelítésére van szükség, amely nulla bizalomra épül.
Hogyan néznek ki ezek a rétegek? Fontolja meg a következő gyakorlatokat, amelyekkel a biztonsági csapatoknak – és harmadik fél webalkalmazás- és infrastrukturális partnereiknek – tisztában kell lenniük.
Figyelje a sebezhetőségi adattárakat
Tömeges sebezhetőséget vizsgáló eszközök, mint a Nuclei közösségi alapú szkenner vagy metasploit A penetrációs tesztelés népszerű eszköz a biztonsági csapatok számára. A rossz színészek körében is népszerűek, akik a koncepciót bizonyító kihasználó kódot keresnek, amely segít a páncél repedéseinek vizsgálatában. A potenciális kizsákmányolási célpontok azonosítására tervezett új sablonok megfigyelése ezekben a tárolókban fontos lépés a lehetséges fenyegetésekkel kapcsolatos tudatosság megőrzéséhez, és lépéssel a fekete kalapok előtt maradáshoz.
Hozza ki a legtöbbet WAF-jából
Néhányan rámutathatnak Webalkalmazások tűzfalai (WAF-ok), mivel nem hatékonyak a nulladik napi támadásokkal szemben, de továbbra is szerepet játszhatnak a fenyegetés mérséklésében. Amellett, hogy a forgalmat szűri az ismert támadásokra, új sebezhetőség észlelésekor a WAF segítségével gyorsan végrehajtható egy „virtuális javítás”, amely egyéni szabályt hozhat létre, amely megakadályozza a nulladik napi kizsákmányolást, és némi lélegzetet biztosít munka közben. állandó javítás megvalósításához. Ennek, mint hosszú távú megoldásnak, vannak árnyoldalai is, amelyek potenciálisan befolyásolhatják a teljesítményt, mivel a szabályok szaporodnak az új fenyegetések ellen. De ez egy olyan képesség, amelyet érdemes a védekező arzenáljában tartani.
Figyelje az ügyfél hírnevét
A támadások elemzésekor, beleértve a nulladik napi eseményeket is, gyakran tapasztaljuk, hogy ugyanazokat a feltört IP-címeket használják – a nyílt proxytól a gyengén védett IoT-eszközökig – a hasznos terhelések továbbítására. Az ezekből a forrásokból származó gyanús forgalmat blokkoló kliens hírnév-védelem még egy védelmi réteget jelenthet a nulladik napi támadásokkal szemben. Az ügyfélhírnév-adatbázis karbantartása és frissítése nem kis feladat, de drámaian csökkentheti annak kockázatát, hogy egy kizsákmányolás hozzáférjen.
Irányítsa forgalmi arányait
A forgalmat megzavaró IP-címek támadásra utalhatnak. Az IP-címek kiszűrése egy másik módja a támadási felület csökkentésének. Míg az intelligens támadók az észlelés elkerülése érdekében számos különböző IP-címen oszthatják meg kihasználásukat, a sebességszabályozás segíthet kiszűrni a nem ilyen hosszúságú támadásokat.
Vigyázz a Botokra
A támadók szkripteket, böngésző-megszemélyesítőket és más trükköket használnak, hogy valódi, élő személyt utánozzanak, aki bejelentkezik egy webhelyre. Valamilyen automatizált botvédelem megvalósítása, amely a rendellenes kérési viselkedés észlelésekor aktiválódik, rendkívül értékes lehet a kockázat csökkentése szempontjából.
Ne hagyja figyelmen kívül a kimenő tevékenységet
Gyakori forgatókönyv a támadók megkísérlésére távoli kódfuttatás Az (RCE) penetrációs tesztelés célja, hogy parancsot küldjön a cél webszervernek a sávon kívüli jelzések végrehajtására, hogy kimenő DNS-hívást kezdeményezzen a támadó által vezérelt beaconing tartományba. Ha a kiszolgáló kezdeményezi a hívást, bingó – sérülékenységet találtak. Az olyan rendszerekről érkező kimenő forgalom figyelése, amelyeknek nem szabad ilyen forgalmat generálniuk, gyakran figyelmen kívül hagyják a fenyegetés észlelésének módját. Ez segíthet felismerni azokat az anomáliákat is, amelyeket a WAF nem fogadott el, amikor a kérés bejövő forgalomként érkezett.
Sequester Identified Attack Sessions
A nulladik napi támadások általában nem „egy és kész” javaslat; egy aktív támadási munkamenet részeként ismételten célponttá válhat. Az ismétlődő támadások észlelésének és automatikus elkülönítésének módja nemcsak a kockázatot csökkenti, hanem a támadási munkamenetek auditálható naplóját is biztosítja. Ez a „csapda és nyomkövetés” képesség nagyon hasznos a törvényszéki elemzéshez.
Tartalmazza a robbanási sugarat
A többrétegű védekezés a kockázat minimalizálásáról szól. De előfordulhat, hogy nem tudja teljesen kiküszöbölni annak az esélyét, hogy egy nulladik napi kizsákmányolás áthatoljon. Ebben az esetben kritikus fontosságú a fenyegetést gátló blokkok megléte. A mikroszegmentálás valamilyen formájának megvalósítása segít megelőzni az oldalirányú mozgást, megzavarni a kiberölési láncot, korlátozni a „robbanás sugarát” és mérsékelni a támadás hatását.
Nincs egyetlen mágikus képlet a nulladik napi támadások elleni védekezésre. De egy sor védekező stratégia és taktika összehangolt (és ideális esetben automatizált) alkalmazása segíthet minimalizálni a fenyegetés felületét. Az itt vázolt bázisok lefedése nagyban erősítheti a védelmet, és minimalizálhatja a csapat morálját rontó tűzgyakorlatokat.
