Obrona dnia zerowego: wskazówki dotyczące rozbrojenia zagrożenia

Niedawna Zbieg Atlassian Błąd zdalnego wykonania kodu to tylko najnowszy przykład zagrożeń typu zero-day, których celem są krytyczne luki w zabezpieczeniach głównych dostawców infrastruktury. Konkretne zagrożenie, wstrzyknięcie języka Object-Graph Navigation Language (OGNL), istnieje od lat, ale nabrało nowego znaczenia, biorąc pod uwagę zakres exploita Atlassian. Rośnie liczba ataków OGNL.

Gdy złoczyńcy znajdą taką lukę w zabezpieczeniach, do drzwi zaczynają pukać exploity sprawdzające słuszność koncepcji, szukając nieuwierzytelnionego dostępu w celu utworzenia nowych kont administratorów, wykonywania zdalnych poleceń i przejmowania serwerów. W przypadku Atlassian zespół badawczy firmy Akamai ds. zagrożeń stwierdził, że liczba unikalnych adresów IP wykorzystywanych do wykorzystania tych exploitów wzrosła do ponad 200 w ciągu zaledwie 24 godzin.

Obrona przed tymi wyczynami staje się wyścigiem z czasem godnym filmu o agencie 007. Zegar tyka, a Ty masz niewiele czasu na wdrożenie łatki i „rozbroić” zagrożenie, zanim będzie za późno. Ale najpierw musisz wiedzieć, że exploit jest w toku. Wymaga to proaktywnego, wielowarstwowego podejścia do bezpieczeństwa online opartego na zerowym zaufaniu.

Jak wyglądają te warstwy? Rozważ następujące praktyki, o których zespoły ds. bezpieczeństwa — oraz ich partnerzy w zakresie aplikacji internetowych i infrastruktury innych firm — powinni wiedzieć.

Monitoruj repozytoria luk w zabezpieczeniach

Masowe narzędzia do skanowania luk w zabezpieczeniach, takie jak społecznościowy skaner Nuclei lub Metasploit testy penetracyjne są popularnymi narzędziami dla zespołów ds. bezpieczeństwa. Są również popularne wśród złych aktorów, którzy szukają kodu exploita, który pomoże im wykryć pęknięcia w zbroi. Monitorowanie tych repozytoriów pod kątem nowych szablonów, które mogą służyć do identyfikowania potencjalnych celów exploitów, jest ważnym krokiem do utrzymania świadomości potencjalnych zagrożeń i bycia o krok przed czarnymi kapeluszami.

Wykorzystaj w pełni swój WAF

Niektórzy mogą wskazać Zapory sieciowe aplikacji internetowych (WAF) jako nieskuteczne przeciwko atakom dnia zerowego, ale nadal mogą odgrywać rolę w łagodzeniu zagrożenia. Oprócz filtrowania ruchu pod kątem znanych ataków, gdy zostanie wykryta nowa luka, WAF może zostać użyty do szybkiego wdrożenia „wirtualnej poprawki”, tworząc niestandardową regułę zapobiegającą wykorzystaniu luki w zabezpieczeniach dnia zerowego i dającą trochę wytchnienia podczas pracy wdrożyć stałą poprawkę. Jest to rozwiązanie długoterminowe, które może mieć wpływ na wydajność w miarę rozprzestrzeniania się reguł przeciwdziałania nowym zagrożeniom. Ale jest to umiejętność, którą warto mieć w swoim arsenale obronnym.

Monitoruj reputację klientów

Podczas analizowania ataków, w tym zdarzeń typu zero-day, często można zauważyć, że wykorzystują one wiele takich samych zagrożonych adresów IP — od otwartych serwerów proxy po słabo chronione urządzenia IoT — w celu dostarczania swoich ładunków. Ochrona reputacji klienta, która blokuje podejrzany ruch pochodzący z tych źródeł, może zapewnić jeszcze jedną warstwę obrony przed atakami zero-day. Utrzymanie i aktualizacja bazy danych reputacji klientów to niełatwe zadanie, ale może radykalnie zmniejszyć ryzyko uzyskania dostępu przez exploita.

Kontroluj stawki ruchu

Adresy IP, które blokują cię ruchem, mogą być wskazówką do ataku. Odfiltrowanie tych adresów IP to kolejny sposób na zmniejszenie powierzchni ataku. Podczas gdy inteligentni napastnicy mogą rozpowszechniać swoje exploity na wiele różnych adresów IP, aby uniknąć wykrycia, kontrola szybkości może pomóc odfiltrować ataki, które nie idą na taką długość.

Uważaj na boty

Atakujący używają skryptów, podszywaczy przeglądarki i innych podstępów, aby naśladować prawdziwą, żywą osobę logującą się na stronie internetowej. Wdrożenie jakiejś formy automatycznej obrony przed botami, która uruchamia się, gdy wykryje nieprawidłowe zachowanie żądania, może być niezwykle cenne w ograniczaniu ryzyka.

Nie pomijaj aktywności wychodzącej

Typowy scenariusz prób atakujących zdalne wykonanie kodu Testy penetracyjne (RCE) polegają na wysłaniu polecenia do docelowego serwera sieci Web w celu wykonania sygnalizacji poza pasmem w celu wykonania wychodzącego połączenia DNS z domeną sygnalizacyjną kontrolowaną przez atakującego. Jeśli serwer wykona połączenie, bingo — znalazł lukę w zabezpieczeniach. Monitorowanie ruchu wychodzącego z systemów, które nie powinny go generować, jest często pomijanym sposobem wykrywania zagrożeń. Może to również pomóc w wykryciu wszelkich anomalii, które zostały pominięte przez WAF, gdy żądanie przyszło jako ruch przychodzący.

Sequesty zidentyfikowanych ataków Sequester

Ataki dnia zerowego nie są zwykle propozycją „jednej i skończonej”; możesz być wielokrotnie atakowany w ramach aktywnej sesji ataku. Możliwość wykrycia tych powtarzających się ataków i ich automatycznego sekwestrowania nie tylko zmniejsza ryzyko, ale może również zapewnić kontrolowany dziennik sesji ataków. Ta funkcja „pułapek i śledzenia” jest naprawdę przydatna w analizie kryminalistycznej.

Ogranicz promień wybuchu

Wielowarstwowa obrona polega na minimalizowaniu ryzyka. Ale możesz nie być w stanie całkowicie wyeliminować szansy, że exploit zero-day może się przedostać. W takim przypadku posiadanie bloków w celu powstrzymania zagrożenia ma kluczowe znaczenie. Wdrożenie jakiejś formy mikrosegmentacji pomoże zapobiegać ruchom poprzecznym, zakłócając łańcuch cyberzabójstw, ograniczając „promień wybuchu” i łagodząc skutki ataku.

Nie ma jednej magicznej formuły obrony przed atakami dnia zerowego. Jednak zastosowanie szeregu strategii i taktyk obronnych w skoordynowany (a najlepiej zautomatyzowany) sposób może pomóc zminimalizować powierzchnię zagrożenia. Osłanianie opisanych tutaj baz może znacznie przyczynić się do wzmocnienia obrony i pomóc zminimalizować ćwiczenia przeciwpożarowe, które obniżają morale zespołu.