Defesa de dia zero: dicas para neutralizar a ameaça

A recente Confluência Atlassiana O bug de execução remota de código é apenas o exemplo mais recente de ameaças de dia zero que visam vulnerabilidades críticas nos principais provedores de infraestrutura. A ameaça específica, uma injeção de Object-Graph Navigation Language (OGNL), existe há anos, mas assumiu um novo significado devido ao escopo da exploração da Atlassian. E os ataques OGNL estão aumentando.

Depois que os malfeitores encontram essa vulnerabilidade, explorações de prova de conceito começam a bater à porta, buscando acesso não autenticado para criar novas contas de administrador, executar comandos remotos e assumir servidores. No caso da Atlassian, a equipe de pesquisa de ameaças da Akamai identificou que o número de endereços IP exclusivos que tentam essas explorações aumentou para mais de 200 em apenas 24 horas.

Defender-se dessas façanhas torna-se uma corrida contra o tempo digna de um filme do 007. O relógio está correndo e você não tem muito tempo para implementar um patch e “desarmar” a ameaça antes que seja tarde demais. Mas primeiro você precisa saber que uma exploração está em andamento. Isso requer uma abordagem proativa e multicamada para a segurança online baseada em confiança zero.

Como são essas camadas? Considere as práticas a seguir que as equipes de segurança — e seus aplicativos da Web terceirizados e parceiros de infraestrutura — devem conhecer.

Monitorar repositórios de vulnerabilidades

Ferramentas de verificação de vulnerabilidade em massa, como o scanner baseado na comunidade da Nuclei ou Metasploit testes de penetração são ferramentas populares para equipes de segurança. Eles também são populares entre os malfeitores que procuram um código de exploração de prova de conceito que os ajudará a investigar rachaduras na armadura. Monitorar esses repositórios em busca de novos modelos que possam ser projetados para identificar possíveis alvos de exploração é uma etapa importante para manter a conscientização sobre possíveis ameaças e ficar um passo à frente dos black hats.

Aproveite ao máximo seu WAF

Alguns podem apontar para Firewalls de aplicativos da web (WAFs) como ineficazes contra ataques de dia zero, mas ainda podem desempenhar um papel na mitigação da ameaça. Além de filtrar o tráfego para ataques conhecidos, quando uma nova vulnerabilidade é identificada, um WAF pode ser usado para implementar rapidamente um “patch virtual”, criando uma regra personalizada para evitar uma exploração de dia zero e dar a você algum espaço para respirar enquanto trabalha para implementar um patch permanente. Há algumas desvantagens nisso como uma solução de longo prazo, afetando potencialmente o desempenho à medida que as regras proliferam para combater novas ameaças. Mas é uma capacidade que vale a pena ter em seu arsenal defensivo.

Monitore a reputação do cliente

Ao analisar ataques, incluindo eventos de dia zero, é comum vê-los usando muitos dos mesmos IPs comprometidos — de proxies abertos a dispositivos IoT mal protegidos — para entregar suas cargas úteis. Ter uma defesa de reputação do cliente que bloqueia o tráfego suspeito proveniente dessas fontes pode fornecer mais uma camada de defesa contra ataques de dia zero. Manter e atualizar um banco de dados de reputação do cliente não é uma tarefa pequena, mas pode reduzir drasticamente o risco de uma exploração obter acesso.

Controle suas taxas de tráfego

IPs que estão martelando você com tráfego podem ser uma dica para um ataque. Filtrar esses IPs é outra maneira de reduzir sua superfície de ataque. Embora os invasores inteligentes possam distribuir suas explorações em muitos IPs diferentes para evitar a detecção, o controle de taxa pode ajudar a filtrar os ataques que não chegam a tais comprimentos.

Cuidado com os bots

Os invasores usam scripts, imitadores de navegadores e outros subterfúgios para imitar uma pessoa real e viva fazendo login em um site. A implementação de alguma forma de defesa de bot automatizada que é acionada quando detecta um comportamento de solicitação anômalo pode ser extremamente valiosa para reduzir o risco.

Não negligencie a atividade de saída

Um cenário comum para invasores que tentam execução remota de código O teste de penetração (RCE) é enviar um comando ao servidor da Web de destino para executar sinalização fora de banda para fazer uma chamada DNS de saída para um domínio de sinalização controlado pelo invasor. Se o servidor fizer a chamada, bingo — eles encontraram uma vulnerabilidade. Monitorar o tráfego de saída de sistemas que não deveriam estar gerando esse tráfego é uma maneira frequentemente negligenciada de identificar uma ameaça. Isso também pode ajudar a detectar quaisquer anomalias que o WAF perdeu quando a solicitação veio como tráfego de entrada.

Sequestrar sessões de ataque identificadas

Ataques de dia zero geralmente não são uma proposta “única e pronta”; você pode ser alvo repetidamente como parte de uma sessão de ataque ativa. Ter uma maneira de identificar esses ataques repetidos e sequestrá-los automaticamente não apenas reduz o risco, mas também pode fornecer um registro auditável das sessões de ataque. Esse recurso de “capturar e rastrear” é realmente útil para análises forenses.

Contenha o raio de explosão

A defesa em várias camadas trata de minimizar os riscos. Mas você pode não ser capaz de eliminar completamente a chance de uma exploração de dia zero se infiltrar. Nesse caso, ter bloqueios para conter a ameaça é fundamental. A implementação de alguma forma de microssegmentação ajudará a evitar o movimento lateral, interrompendo a cadeia cibernética, limitando o “raio de explosão” e mitigando o impacto de um ataque.

Não existe uma fórmula mágica única para se defender contra ataques de dia zero. Mas aplicar uma variedade de estratégias e táticas defensivas de maneira coordenada (e, idealmente, automatizada) pode ajudar a minimizar sua superfície de ameaça. Cobrir as bases descritas aqui pode ajudar muito a fortalecer suas defesas e ajudar a minimizar os exercícios de incêndio que corroem o moral da equipe.