den nylige Atlassisk sammenløp Feil for ekstern kjøring av kode er bare det siste eksemplet på nulldagstrusler rettet mot kritiske sårbarheter hos store infrastrukturleverandører. Den spesifikke trusselen, en Object-Graph Navigation Language (OGNL)-injeksjon, har eksistert i årevis, men fikk ny betydning gitt omfanget av Atlassian-utnyttelsen. Og OGNL-angrep er på vei oppover.
Når dårlige aktører finner en slik sårbarhet, begynner proof-of-concept-utnyttelser å banke på døren, og søker uautentisert tilgang for å opprette nye administratorkontoer, utføre eksterne kommandoer og overta servere. I Atlassian-saken identifiserte Akamais trusselforskningsteam at antallet unike IP-adresser som forsøkte disse utnyttelsene vokste til mer enn 200 i løpet av bare 24 timer.
Å forsvare seg mot disse bedriftene blir et kappløp mot tiden som er en 007-film verdig. Klokken tikker og du har ikke mye tid til å implementere en oppdatering og "defuse" trusselen før det er for sent. Men først må du vite at en utnyttelse er i gang. Det krever en proaktiv, flerlags tilnærming til nettsikkerhet basert på null tillit.
Hvordan ser disse lagene ut? Vurder følgende praksis som sikkerhetsteam – og deres tredjeparts webapplikasjoner og infrastrukturpartnere – bør være klar over.
Overvåk sårbarhetslager
Massesårbarhetsskanningsverktøy som Nucleis fellesskapsbaserte skanner eller Metasploit penetrasjonstesting er populære verktøy for sikkerhetsteam. De er også populære blant dårlige skuespillere som leter etter proof-of-concept utnyttelseskode som vil hjelpe dem å lete etter sprekker i rustningen. Å overvåke disse lagrene for nye maler som kan være designet for å identifisere potensielle utnyttelsesmål er et viktig skritt for å opprettholde bevisstheten om potensielle trusler og ligge et skritt foran de svarte hattene.
Få mest mulig ut av WAF
Noen kan peke på Brannmurer for webapplikasjoner (WAF-er) som ineffektive mot zero-day-angrep, men de kan fortsatt spille en rolle i å dempe trusselen. I tillegg til å filtrere trafikk for kjente angrep, når en ny sårbarhet er identifisert, kan en WAF brukes til raskt å implementere en "virtuell oppdatering", lage en tilpasset regel for å forhindre en null-dagers utnyttelse og gi deg litt pusterom mens du jobber å implementere en permanent oppdatering. Det er noen ulemper med dette som en langsiktig løsning, som potensielt kan påvirke ytelsen ettersom regler sprer seg for å motvirke nye trusler. Men det er en evne verdt å ha i ditt defensive arsenal.
Overvåk klientens omdømme
Når man analyserer angrep, inkludert nulldagers hendelser, er det vanlig å se dem bruke mange av de samme kompromitterte IP-ene – fra åpne proxyer til dårlig beskyttede IoT-enheter – for å levere nyttelastene sine. Å ha et klientomdømmeforsvar som blokkerer mistenkelig trafikk som stammer fra disse kildene, kan gi enda et lag med forsvar fra nulldagsangrep. Å vedlikeholde og oppdatere en klientomdømmedatabase er ikke en liten oppgave, men det kan dramatisk redusere risikoen for at en utnyttelse får tilgang.
Kontroller trafikkratene dine
IP-er som hamrer deg med trafikk kan være et tips til et angrep. Å filtrere ut disse IP-ene er en annen måte å redusere angrepsoverflaten på. Mens smarte angripere kan distribuere utnyttelsene sine over mange forskjellige IP-er for å unngå gjenkjenning, kan hastighetskontroll hjelpe til med å filtrere ut angrep som ikke går så langt.
Se opp for bots
Angripere bruker skript, nettleser-imitatorer og andre utspill for å etterligne en ekte, levende person som logger på et nettsted. Implementering av en eller annen form for automatisert botforsvar som utløser når den oppdager unormal forespørselsatferd kan være ekstremt verdifull for å redusere risiko.
Ikke overse utgående aktivitet
Et vanlig scenario for angripere som forsøker ekstern kjøring av kode (RCE) penetrasjonstesting er å sende en kommando til målnettserveren for å utføre signalering utenfor båndet for å foreta et utgående DNS-anrop til et beaconing-domene kontrollert av angriperen. Hvis serveren ringer, bingo - fant de en sårbarhet. Overvåking av utgående trafikk fra systemer som ikke burde generere den trafikken er en ofte oversett måte å oppdage en trussel på. Dette kan også bidra til å oppdage eventuelle uregelmessigheter som WAF gikk glipp av da forespørselen kom som innkommende trafikk.
Sekvester identifiserte angrepsøkter
Null-dagers angrep er vanligvis ikke et "en og gjort"-forslag; du kan bli målrettet gjentatte ganger som en del av en aktiv angrepsøkt. Å ha en måte å oppdage disse gjentatte angrepene og automatisk sekvestre dem reduserer ikke bare risikoen, men det kan også gi en kontrollerbar logg over angrepsøktene. Denne "trap and trace"-funksjonen er veldig nyttig for rettsmedisinske analyser.
Inneholder sprengningsradiusen
Flerlags forsvar handler om å minimere risiko. Men du kan kanskje ikke helt eliminere sjansen for at en nulldagers utnyttelse kan knirke gjennom. I så fall er det viktig å ha blokker for å inneholde trusselen. Implementering av en eller annen form for mikrosegmentering vil bidra til å forhindre sideveis bevegelse, forstyrre cyberdrapskjeden, begrense "eksplosjonsradius" og dempe virkningen av et angrep.
Det er ingen enkelt magisk formel for å forsvare seg mot nulldagsangrep. Men å bruke en rekke defensive strategier og taktikker på en koordinert (og ideelt sett automatisert) måte kan bidra til å minimere trusseloverflaten. Å dekke basene som er skissert her, kan bidra langt til å styrke forsvaret ditt og bidra til å minimere brannøvelsene som eroderer teammoralen.
