De recente Atlassiaanse samenvloeiing De bug voor het uitvoeren van externe code is slechts het nieuwste voorbeeld van zero-day-bedreigingen die gericht zijn op kritieke kwetsbaarheden binnen grote infrastructuurproviders. De specifieke dreiging, een Object-Graph Navigation Language (OGNL)-injectie, bestaat al jaren, maar kreeg een nieuwe betekenis gezien de reikwijdte van de Atlassian-exploit. En OGNL-aanvallen nemen toe.
Zodra kwaadwillenden zo'n kwetsbaarheid vinden, beginnen proof-of-concept-exploits aan de deur te kloppen, op zoek naar niet-geverifieerde toegang om nieuwe beheerdersaccounts aan te maken, externe opdrachten uit te voeren en servers over te nemen. In de Atlassian-zaak stelde het bedreigingsonderzoeksteam van Akamai vast dat het aantal unieke IP-adressen dat deze exploits probeerde uit te breiden tot meer dan 200 binnen slechts 24 uur.
Verdedigen tegen deze heldendaden wordt een race tegen de klok die een 007-film waardig is. De klok tikt door en je hebt niet veel tijd om een โโpatch te implementeren en de dreiging "onschadelijk te maken" voordat het te laat is. Maar eerst moet je weten dat er een exploit gaande is. Dat vereist een proactieve, meerlaagse benadering van online beveiliging op basis van zero trust.
Hoe zien deze lagen eruit? Overweeg de volgende praktijken waarvan beveiligingsteams โ en hun externe webtoepassings- en infrastructuurpartners โ op de hoogte moeten zijn.
Kwetsbaarheidsopslagplaatsen bewaken
Scantools voor massale kwetsbaarheden zoals Nuclei's community-based scanner of Metasploit Penetratietesten zijn populaire tools voor beveiligingsteams. Ze zijn ook populair onder slechteriken die op zoek zijn naar proof-of-concept exploitcode waarmee ze scheuren in het pantser kunnen opsporen. Het monitoren van deze opslagplaatsen op nieuwe sjablonen die mogelijk zijn ontworpen om potentiรซle exploitdoelen te identificeren, is een belangrijke stap om het bewustzijn van potentiรซle bedreigingen te behouden en de zwarte hoeden een stap voor te blijven.
Haal het meeste uit uw WAF
Sommigen wijzen er misschien op Firewalls voor webapplicaties (WAF's) als ineffectief tegen zero-day-aanvallen, maar ze kunnen nog steeds een rol spelen bij het verminderen van de dreiging. Naast het filteren van verkeer op bekende aanvallen, kan een WAF, wanneer een nieuwe kwetsbaarheid wordt geรฏdentificeerd, worden gebruikt om snel een "virtuele patch" te implementeren, waarbij een aangepaste regel wordt gemaakt om een โโzero-day-exploit te voorkomen en u wat ademruimte te geven terwijl u werkt om een โโpermanente patch te implementeren. Er zijn enkele nadelen aan dit als langetermijnoplossing, die mogelijk van invloed zijn op de prestaties, aangezien de regels toenemen om nieuwe bedreigingen het hoofd te bieden. Maar het is een vaardigheid die het waard is om in je defensieve arsenaal te hebben.
Bewaak de reputatie van de klant
Bij het analyseren van aanvallen, inclusief zero-day-gebeurtenissen, is het gebruikelijk om te zien dat ze veel van dezelfde gecompromitteerde IP's gebruiken - van open proxy's tot slecht beveiligde IoT-apparaten - om hun payloads af te leveren. Het hebben van een clientreputatiebescherming die verdacht verkeer blokkeert dat afkomstig is van deze bronnen, kan een extra verdedigingslaag bieden tegen zero-day-aanvallen. Het onderhouden en bijwerken van een klantenreputatiedatabase is geen kleine taak, maar het kan het risico dat een exploit toegang krijgt drastisch verminderen.
Beheer uw verkeerspercentages
IP's die u overspoelen met verkeer kunnen een tip zijn voor een aanval. Het filteren van die IP's is een andere manier om uw aanvalsoppervlak te verkleinen. Terwijl slimme aanvallers hun exploits over veel verschillende IP's kunnen verspreiden om detectie te voorkomen, kan snelheidscontrole helpen om aanvallen die niet zo ver gaan, uit te filteren.
Pas op voor bots
Aanvallers gebruiken scripts, browserimitators en andere uitvluchten om een โโechte, levende persoon na te bootsen die inlogt op een website. Het implementeren van een of andere vorm van geautomatiseerde botverdediging die wordt geactiveerd wanneer afwijkend verzoekgedrag wordt gedetecteerd, kan uiterst waardevol zijn bij het beperken van risico's.
Let niet op uitgaande activiteit
Een veelvoorkomend scenario voor aanvallers die proberen uitvoering van externe code (RCE) penetratietesten zijn het verzenden van een opdracht naar de doelwebserver om out-of-band signalering uit te voeren om een โโuitgaande DNS-aanroep te doen naar een beaconing-domein dat wordt beheerd door de aanvaller. Als de server belt, bingo, hebben ze een kwetsbaarheid gevonden. Het monitoren van uitgaand verkeer van systemen die dat verkeer niet zouden moeten genereren, is een vaak over het hoofd geziene manier om een โโbedreiging op te sporen. Dit kan ook helpen bij het opsporen van afwijkingen die de WAF heeft gemist toen het verzoek binnenkwam als inkomend verkeer.
Sequester geรฏdentificeerde aanvalssessies
Zero-day-aanvallen zijn meestal geen "eenmalig" voorstel; u kunt herhaaldelijk worden aangevallen als onderdeel van een actieve aanvalssessie. Een manier hebben om deze herhaalde aanvallen te herkennen en ze automatisch te sequestreren, vermindert niet alleen het risico, maar kan ook een controleerbaar logboek van de aanvalssessies opleveren. Deze "trap en trace"-mogelijkheid is erg handig voor forensische analyse.
Houd de ontploffingsradius in bedwang
Meerlaagse verdediging gaat over het minimaliseren van risico's. Maar u kunt de kans dat een zero-day-exploit er doorheen kan glippen, misschien niet helemaal uitsluiten. In dat geval is het essentieel om blokken te hebben om de dreiging in te dammen. Het implementeren van een of andere vorm van microsegmentatie helpt zijdelingse beweging te voorkomen, de cyberkill-keten te verstoren, de "explosieradius" te beperken en de impact van een aanval te verminderen.
Er is geen enkele magische formule voor verdediging tegen zero-day-aanvallen. Maar door een reeks defensieve strategieรซn en tactieken op een gecoรถrdineerde (en idealiter geautomatiseerde) manier toe te passen, kunt u uw dreigingsoppervlak minimaliseren. Het afdekken van de hier geschetste bases kan een grote bijdrage leveren aan het versterken van je verdediging en het helpen minimaliseren van de brandoefeningen die het moreel van het team aantasten.
