La recente Confluenza atlante Il bug di esecuzione di codice in modalità remota è solo l'ultimo esempio di minacce zero-day che mirano a vulnerabilità critiche all'interno dei principali fornitori di infrastrutture. La minaccia specifica, un'iniezione di Object-Graph Navigation Language (OGNL), esiste da anni ma ha assunto un nuovo significato data la portata dell'exploit Atlassian. E gli attacchi OGNL sono in aumento.
Una volta che i malintenzionati individuano una tale vulnerabilità, gli exploit proof-of-concept iniziano a bussare alla porta, cercando un accesso non autenticato per creare nuovi account amministratore, eseguire comandi remoti e assumere il controllo dei server. Nel caso Atlassian, il team di ricerca sulle minacce di Akamai ha rilevato che il numero di indirizzi IP univoci che hanno tentato questi exploit è cresciuto fino a superare i 200 in sole 24 ore.
Difendersi da queste imprese diventa una corsa contro il tempo degna di un film di 007. Il tempo stringe e non si ha molto tempo per implementare una patch e "disinnescare" la minaccia prima che sia troppo tardi. Ma prima devi sapere che è in corso un exploit. Ciò richiede un approccio proattivo e multilivello alla sicurezza online basato su zero trust.
Che aspetto hanno questi strati? Prendi in considerazione le seguenti pratiche di cui i team di sicurezza, nonché i loro partner di applicazioni e infrastrutture Web di terze parti, dovrebbero essere a conoscenza.
Monitora i repository di vulnerabilità
Strumenti di scansione delle vulnerabilità di massa come lo scanner basato sulla comunità di Nuclei o Metasplot i test di penetrazione sono strumenti popolari per i team di sicurezza. Sono anche popolari tra i malintenzionati che sono alla ricerca di codice exploit proof-of-concept che li aiuti a sondare le crepe nell'armatura. Il monitoraggio di questi repository per nuovi modelli che possono essere progettati per identificare potenziali bersagli di exploit è un passo importante per mantenere la consapevolezza delle potenziali minacce e rimanere un passo avanti rispetto ai black hat.
Ottieni il massimo dal tuo WAF
Alcuni potrebbero indicare Firewall per applicazioni web (WAF) come inefficaci contro gli attacchi zero-day, ma possono comunque svolgere un ruolo nel mitigare la minaccia. Oltre a filtrare il traffico per gli attacchi noti, quando viene identificata una nuova vulnerabilità, un WAF può essere utilizzato per implementare rapidamente una "patch virtuale", creando una regola personalizzata per prevenire un exploit zero-day e darti un po' di respiro mentre lavori per implementare una patch permanente. Ci sono alcuni aspetti negativi di questa soluzione a lungo termine, che potrebbero influire sulle prestazioni man mano che le regole proliferano per contrastare le nuove minacce. Ma è una capacità che vale la pena avere nel proprio arsenale difensivo.
Monitora la reputazione del cliente
Quando si analizzano gli attacchi, inclusi gli eventi zero-day, è comune vederli utilizzare molti degli stessi IP compromessi, dai proxy aperti ai dispositivi IoT scarsamente protetti, per fornire i propri payload. Avere una difesa della reputazione del client che blocchi il traffico sospetto proveniente da queste fonti può fornire un ulteriore livello di difesa dagli attacchi zero-day. La manutenzione e l'aggiornamento di un database di reputazione client non è un'attività da poco, ma può ridurre drasticamente il rischio che un exploit ottenga l'accesso.
Controlla le tue tariffe di traffico
Gli IP che ti stanno martellando con il traffico possono essere una soffiata per un attacco. Filtrare quegli IP è un altro modo per ridurre la superficie di attacco. Mentre gli aggressori intelligenti possono distribuire i loro exploit su molti IP diversi per evitare il rilevamento, il controllo della velocità può aiutare a filtrare gli attacchi che non arrivano a tali lunghezze.
Attenzione ai bot
Gli aggressori utilizzano script, imitatori di browser e altri sotterfugi per imitare una persona reale che accede a un sito Web dal vivo. L'implementazione di una qualche forma di difesa automatizzata dai bot che si attiva quando rileva un comportamento anomalo della richiesta può essere estremamente utile per mitigare il rischio.
Non trascurare l'attività in uscita
Uno scenario comune per gli aggressori che tentano esecuzione di codice remoto Il test di penetrazione (RCE) consiste nell'inviare un comando al server Web di destinazione per eseguire la segnalazione fuori banda per effettuare una chiamata DNS in uscita a un dominio di beaconing controllato dall'aggressore. Se il server effettua la chiamata, bingo: hanno trovato una vulnerabilità. Il monitoraggio del traffico in uscita da sistemi che non dovrebbero generare quel traffico è un modo spesso trascurato per individuare una minaccia. Questo può anche aiutare a individuare eventuali anomalie che il WAF ha mancato quando la richiesta è arrivata come traffico in entrata.
Sequestra le sessioni di attacco identificate
Gli attacchi zero-day di solito non sono una proposta "one and done"; potresti essere preso di mira ripetutamente come parte di una sessione di attacco attiva. Avere un modo per individuare questi attacchi ripetuti e sequestrarli automaticamente non solo riduce il rischio, ma può anche fornire un registro verificabile delle sessioni di attacco. Questa funzionalità "trap and trace" è davvero utile per l'analisi forense.
Contenere il raggio dell'esplosione
La difesa a più livelli riguarda la minimizzazione del rischio. Ma potresti non essere in grado di eliminare completamente la possibilità che un exploit zero-day possa passare. In tal caso, disporre di blocchi per contenere la minaccia è fondamentale. L'implementazione di una qualche forma di microsegmentazione aiuterà a prevenire il movimento laterale, interrompendo la catena di cyber kill, limitando il "raggio di esplosione" e mitigando l'impatto di un attacco.
Non esiste un'unica formula magica per difendersi dagli attacchi zero-day. Ma l'applicazione di una serie di strategie e tattiche difensive in modo coordinato (e, idealmente, automatizzato) può aiutare a ridurre al minimo la superficie della minaccia. Coprire le basi delineate qui può fare molto per rafforzare le tue difese e aiutare a ridurre al minimo le esercitazioni antincendio che erodono il morale della squadra.
- blockchain
- portafogli di criptovaluta
- cryptoexchange
- sicurezza informatica
- i criminali informatici
- Cybersecurity
- Lettura oscura
- Dipartimento di Sicurezza Nazionale
- portafogli digitali
- firewall
- Kaspersky
- il malware
- Mcafee
- NextBLOC
- Platone
- platone ai
- Platone Data Intelligence
- Gioco di Platone
- PlatoneDati
- gioco di plato
- VPN
- sicurezza del sito Web
