Recente Confluența atlassiană Bug de execuție a codului de la distanță este doar cel mai recent exemplu de amenințări zero-day care vizează vulnerabilitățile critice ale furnizorilor majori de infrastructură. Amenințarea specifică, o injecție Object-Graph Navigation Language (OGNL), există de ani de zile, dar a căpătat o nouă semnificație, având în vedere amploarea exploit-ului Atlassian. Și atacurile OGNL sunt în creștere.
Odată ce actorii răi găsesc o astfel de vulnerabilitate, exploatările de dovadă a conceptului încep să bată la ușă, căutând acces neautentificat pentru a crea noi conturi de administrator, a executa comenzi de la distanță și a prelua servere. În cazul Atlassian, echipa de cercetare a amenințărilor de la Akamai a identificat că numărul de adrese IP unice care încearcă aceste exploatări a crescut la peste 200 în doar 24 de ore.
Apărarea împotriva acestor exploit devine o cursă contra cronometru demnă de un film 007. Ceasul trece și nu aveți prea mult timp pentru a implementa un patch și a „dezamorsa” amenințarea înainte de a fi prea târziu. Dar mai întâi trebuie să știi că o exploatare este în curs. Acest lucru necesită o abordare proactivă, pe mai multe straturi, a securității online, bazată pe încredere zero.
Cum arată aceste straturi? Luați în considerare următoarele practici pe care echipele de securitate - și partenerii lor de infrastructură și aplicații web terțe - ar trebui să le cunoască.
Monitorizați depozitele de vulnerabilități
Instrumente de scanare a vulnerabilităților în masă, cum ar fi scanerul bazat pe comunitate al Nuclei sau Metasploit testele de penetrare sunt instrumente populare pentru echipele de securitate. Ele sunt, de asemenea, populare printre actorii răi care caută un cod de exploatare de dovadă a conceptului care îi va ajuta să detecteze crăpăturile în armură. Monitorizarea acestor depozite pentru noi șabloane care pot fi concepute pentru a identifica potențiale ținte de exploatare este un pas important pentru a menține conștientizarea potențialelor amenințări și a rămâne cu un pas înaintea pălăriilor negre.
Profită la maximum de WAF-ul tău
Unii pot indica Firewall-uri pentru aplicații web (WAF) ca fiind ineficiente împotriva atacurilor zero-day, dar ele pot juca în continuare un rol în atenuarea amenințării. Pe lângă filtrarea traficului pentru atacuri cunoscute, atunci când se identifică o nouă vulnerabilitate, un WAF poate fi utilizat pentru a implementa rapid un „patch virtual”, creând o regulă personalizată pentru a preveni un exploit de zi zero și pentru a vă oferi puțin spațiu de respirație în timp ce lucrați. pentru a implementa un patch permanent. Există câteva dezavantaje ale acestei soluții pe termen lung, care pot afecta performanța pe măsură ce regulile proliferează pentru a contracara noile amenințări. Dar este o capacitate care merită să ai în arsenalul tău defensiv.
Monitorizați reputația clientului
Când se analizează atacuri, inclusiv evenimente de tip zero-day, este obișnuit să-i vezi folosind multe dintre aceleași IP-uri compromise - de la proxy-uri deschise la dispozitive IoT prost protejate - pentru a-și livra sarcinile utile. Având o apărare a reputației clientului care blochează traficul suspect care provine din aceste surse poate oferi încă un nivel de apărare împotriva atacurilor zero-day. Menținerea și actualizarea unei baze de date cu reputația clientului nu este o sarcină mică, dar poate reduce dramatic riscul ca un exploit să obțină acces.
Controlați-vă ratele de trafic
IP-urile care vă lovesc cu trafic pot fi un indiciu pentru un atac. Filtrarea acelor IP-uri este o altă modalitate de a vă reduce suprafața de atac. În timp ce atacatorii inteligenți își pot distribui exploit-urile pe mai multe IP-uri diferite pentru a evita detectarea, controlul ratei poate ajuta la filtrarea atacurilor care nu ajung la astfel de limite.
Atenție la roboți
Atacatorii folosesc scripturi, imitații de browser și alte subterfugii pentru a imita o persoană reală, care se conectează la un site web. Implementarea unei forme de apărare automată împotriva botului care se declanșează atunci când detectează un comportament anormal de solicitare poate fi extrem de valoroasă pentru atenuarea riscului.
Nu treceți cu vederea activitatea de ieșire
Un scenariu comun pentru atacatorii care încearcă executarea codului de la distanță Testarea de penetrare (RCE) este de a trimite o comandă către serverul Web țintă pentru a efectua semnalizare în afara benzii pentru a efectua un apel DNS de ieșire către un domeniu de semnalizare controlat de atacator. Dacă serverul face apelul, bingo - au găsit o vulnerabilitate. Monitorizarea traficului de ieșire din sistemele care nu ar trebui să genereze acel trafic este o modalitate adesea trecută cu vederea de a detecta o amenințare. Acest lucru poate ajuta și la identificarea oricăror anomalii pe care WAF-ul le-a ratat atunci când solicitarea a venit ca trafic de intrare.
Sesiuni de atac identificate de Sechester
Atacurile zero-day nu sunt de obicei o propunere „una și gata”; este posibil să fiți vizat în mod repetat ca parte a unei sesiuni de atac activ. Având o modalitate de a detecta aceste atacuri repetate și de a le sechestra automat, nu numai că reduce riscul, dar poate oferi și un jurnal auditabil al sesiunilor de atac. Această capacitate de „capcană și urmărire” este cu adevărat utilă pentru analiza criminalistică.
Conține raza exploziei
Apărarea pe mai multe straturi se referă la minimizarea riscului. Dar este posibil să nu reușiți să eliminați complet șansa ca un exploit de zi zero să poată trece. În acest caz, este esențial să existe blocuri pentru a limita amenințarea. Implementarea unei forme de microsegmentare va ajuta la prevenirea mișcării laterale, perturbând lanțul de ucidere cibernetică, limitând „raza exploziei” și atenuând impactul unui atac.
Nu există o formulă magică unică pentru apărarea împotriva atacurilor zero-day. Dar aplicarea unei game de strategii și tactici defensive într-un mod coordonat (și, în mod ideal, automatizat) poate ajuta la minimizarea suprafeței amenințărilor. Acoperirea bazelor prezentate aici poate contribui în mare măsură la întărirea apărării și la minimizarea exercițiilor de incendiu care erodează moralul echipei.
- blockchain
- portofele de criptare
- criptoschimb
- securitate cibernetică
- cybercriminals
- Securitate cibernetică
- Lectură întunecată
- Departamentul de Securitate Națională
- portofele digitale
- firewall
- Kaspersky
- malware
- McAfee
- NexBLOC
- Plato
- platoul ai
- Informații despre date Platon
- Jocul lui Platon
- PlatoData
- platogaming
- VPN
- securitatea site-ului
