最近 アトラシアン合流点 リモート コード実行バグは、主要なインフラストラクチャ プロバイダー内の重大な脆弱性を標的とするゼロデイ脅威の最新の例にすぎません。 特定の脅威である Object-Graph Navigation Language (OGNL) インジェクションは、何年も前から存在していましたが、アトラシアンのエクスプロイトの範囲を考えると、新たな重要性を帯びてきました。 また、OGNL 攻撃が増加しています。
悪意のある人物がそのような脆弱性を発見すると、概念実証のエクスプロイトがドアをノックし始め、認証されていないアクセスを求めて新しい管理者アカウントを作成し、リモート コマンドを実行し、サーバーを乗っ取ります。 アトラシアンのケースでは、アカマイの脅威研究チームは、これらのエクスプロイトを試みる一意の IP アドレスの数が、わずか 200 時間で 24 以上に増加したことを特定しました。
これらのエクスプロイトに対する防御は、007 映画に値する時間との戦いになります。 時計は刻一刻と刻々と過ぎており、手遅れになる前にパッチを実装して脅威を「鎮圧」する時間はあまりありません。 しかし、まず、エクスプロイトが進行中であることを知る必要があります。 そのためには、ゼロ トラストに基づくオンライン セキュリティへの積極的で多層的なアプローチが必要です。
これらのレイヤーはどのように見えますか? セキュリティ チーム (およびそのサード パーティの Web アプリケーションとインフラストラクチャ パートナー) が知っておくべき次のプラクティスを検討してください。
脆弱性リポジトリの監視
Nuclei のコミュニティベースのスキャナーや Metasploit 侵入テストは、セキュリティ チームにとって一般的なツールです。 また、鎧の亀裂を調査するのに役立つ概念実証のエクスプロイト コードを探している悪意のある攻撃者の間でも人気があります。 これらのリポジトリを監視して、潜在的なエクスプロイト ターゲットを特定するように設計されている可能性のある新しいテンプレートがないか確認することは、潜在的な脅威に対する認識を維持し、ブラック ハットの一歩先を行くための重要なステップです。
WAFを最大限に活用する
を指す人もいるかもしれません Webアプリケーションファイアウォール (WAF) はゼロデイ攻撃に対しては効果がありませんが、それでも脅威を軽減する役割を果たすことができます。 既知の攻撃に対するトラフィックのフィルタリングに加えて、新しい脆弱性が特定された場合、WAF を使用して「仮想パッチ」を迅速に実装し、カスタム ルールを作成してゼロデイ エクスプロイトを防止し、作業中に息抜きをすることができます。恒久的なパッチを実装します。 長期的な解決策としてこれにはいくつかの欠点があり、新しい脅威に対抗するためにルールが急増するため、パフォーマンスに影響を与える可能性があります. しかし、それは防衛兵器として持つ価値のある機能です。
クライアントの評判を監視する
ゼロデイ イベントを含む攻撃を分析すると、オープン プロキシから十分に保護されていない IoT デバイスまで、侵害された同じ IP の多くを使用してペイロードを配信しているのがよく見られます。 これらのソースから発信された疑わしいトラフィックをブロックするクライアント レピュテーション ディフェンスを用意することで、ゼロデイ攻撃に対するもう XNUMX つの防御レイヤーを提供できます。 クライアント レピュテーション データベースの維持と更新は簡単な作業ではありませんが、エクスプロイトがアクセスを取得するリスクを大幅に減らすことができます。
トラフィック レートを制御する
トラフィックを大量に発生させている IP は、攻撃のヒントになる可能性があります。 これらの IP を除外することは、攻撃対象領域を減らすもう XNUMX つの方法です。 巧妙な攻撃者は、検出を回避するために多くの異なる IP にエクスプロイトを分散させる可能性がありますが、レート制御は、そのような長さでない攻撃を除外するのに役立ちます。
ボットに注意
攻撃者は、スクリプト、ブラウザのなりすまし、およびその他の策略を使用して、Web サイトにログインしている実際の生きている人間を模倣します。 異常な要求動作を検出したときにトリガーされる自動ボット防御の何らかの形式を実装することは、リスクを軽減する上で非常に価値があります。
アウトバウンド アクティビティを見逃さない
攻撃者が試みる一般的なシナリオ リモートコード実行 (RCE) 侵入テストは、対象の Web サーバーにコマンドを送信してアウトオブバンド シグナリングを実行し、攻撃者が制御するビーコン ドメインへのアウトバウンド DNS 呼び出しを行うことです。 サーバーが呼び出しを行った場合、ビンゴ — 彼らは脆弱性を発見しました. トラフィックを生成してはならないシステムからのアウトバウンド トラフィックを監視することは、脅威を特定する方法として見過ごされがちです。 これは、リクエストが着信トラフィックとして来たときに WAF が見逃した異常を見つけるのにも役立ちます。
特定された攻撃セッションの隔離
通常、ゼロデイ攻撃は「XNUMX 回で終わる」というものではありません。 アクティブな攻撃セッションの一環として、繰り返し標的にされる可能性があります。 これらの繰り返される攻撃を特定して自動的に隔離する方法があれば、リスクが軽減されるだけでなく、攻撃セッションの監査可能なログも提供されます。 この「トラップ アンド トレース」機能は、フォレンジック分析に非常に役立ちます。
爆風半径を封じ込める
多層防御とは、リスクを最小限に抑えることです。 しかし、ゼロデイ エクスプロイトがきしむ可能性を完全に排除することはできない場合があります。 その場合、脅威を封じ込めるためのブロックを持つことが重要です。 何らかの形のマイクロセグメンテーションを実装すると、ラテラル ムーブメントを防ぎ、サイバー キル チェーンを中断し、「爆発範囲」を制限し、攻撃の影響を軽減するのに役立ちます。
ゼロデイ攻撃を防御する魔法の公式はありません。 しかし、さまざまな防御戦略と戦術を調整された (理想的には自動化された) 方法で適用することで、脅威の表面を最小限に抑えることができます。 ここで概説されている基地をカバーすることは、防御を強化するのに大いに役立ち、チームの士気を損なう防火訓練を最小限に抑えるのに役立ちます.
