Защита нулевого дня: советы по обезвреживанию угрозы

Недавняя Атласское слияние Ошибка удаленного выполнения кода — это лишь последний пример угроз нулевого дня, нацеленных на критические уязвимости в крупных поставщиках инфраструктуры. Конкретная угроза, инъекция Object-Graph Navigation Language (OGNL), существует уже много лет, но приобрела новое значение, учитывая масштаб эксплойта Atlassian. И атаки OGNL растут.

Как только злоумышленники находят такую ​​уязвимость, эксплойты для проверки концепции начинают стучать в дверь, пытаясь получить доступ без аутентификации для создания новых учетных записей администратора, выполнения удаленных команд и захвата серверов. В случае с Atlassian группа по исследованию угроз Akamai определила, что количество уникальных IP-адресов, пытающихся использовать эти эксплойты, выросло до более чем 200 всего за 24 часа.

Защита от этих подвигов превращается в гонку со временем, достойную фильма об агенте 007. Часы тикают, и у вас не так много времени, чтобы внедрить патч и «обезвредить» угрозу, пока не стало слишком поздно. Но сначала вам нужно знать, что идет эксплойт. Для этого требуется упреждающий, многоуровневый подход к онлайн-безопасности, основанный на нулевом доверии.

Как выглядят эти слои? Рассмотрите следующие методы, о которых должны знать группы безопасности, а также их сторонние партнеры по веб-приложениям и инфраструктуре.

Мониторинг репозиториев уязвимостей

Инструменты массового сканирования уязвимостей, такие как сканер сообщества Nuclei или Metasploit Тестирование на проникновение — популярный инструмент для групп безопасности. Они также популярны среди злоумышленников, которые ищут код эксплойта для подтверждения концепции, который поможет им найти трещины в броне. Мониторинг этих репозиториев на наличие новых шаблонов, которые могут быть разработаны для выявления потенциальных целей эксплойтов, является важным шагом, чтобы поддерживать осведомленность о потенциальных угрозах и оставаться на шаг впереди черных шляп.

Получите максимум от своего WAF

Некоторые могут указать на Брандмауэры веб-приложений (WAF) как неэффективные против атак нулевого дня, но они все еще могут играть роль в смягчении угрозы. Помимо фильтрации трафика на наличие известных атак, при обнаружении новой уязвимости WAF можно использовать для быстрого внедрения «виртуального исправления», создания специального правила для предотвращения эксплойта нулевого дня и предоставления вам передышки во время работы. реализовать постоянный патч. У этого долгосрочного решения есть некоторые недостатки, которые могут повлиять на производительность по мере распространения правил для противодействия новым угрозам. Но эту возможность стоит иметь в своем защитном арсенале.

Мониторинг репутации клиентов

При анализе атак, в том числе событий нулевого дня, часто можно увидеть, что они используют одни и те же скомпрометированные IP-адреса — от открытых прокси-серверов до плохо защищенных устройств IoT — для доставки своей полезной нагрузки. Наличие защиты репутации клиента, которая блокирует подозрительный трафик из этих источников, может обеспечить еще один уровень защиты от атак нулевого дня. Поддержание и обновление базы данных репутации клиентов — непростая задача, но она может значительно снизить риск получения доступа эксплойтом.

Контролируйте скорость трафика

IP-адреса, которые забивают вас трафиком, могут быть предвестником атаки. Фильтрация этих IP-адресов — еще один способ уменьшить поверхность атаки. В то время как умные злоумышленники могут распространять свои эксплойты по множеству разных IP-адресов, чтобы избежать обнаружения, контроль скорости может помочь отфильтровать атаки, которые не заходят так далеко.

Остерегайтесь ботов

Злоумышленники используют сценарии, имитаторы браузера и другие уловки, чтобы имитировать вход реального человека на веб-сайт. Внедрение какой-либо формы автоматической защиты от ботов, которая срабатывает при обнаружении аномального поведения запроса, может быть чрезвычайно полезным для снижения риска.

Не забывайте об исходящей активности

Распространенный сценарий для злоумышленников, пытающихся удаленное выполнение кода (RCE) тестирование на проникновение заключается в отправке команды целевому веб-серверу для выполнения внеполосной сигнализации для выполнения исходящего вызова DNS в домен-маяк, контролируемый злоумышленником. Если сервер делает вызов, бинго — они нашли уязвимость. Мониторинг исходящего трафика от систем, которые не должны генерировать такой трафик, часто упускается из виду. Это также может помочь обнаружить любые аномалии, которые WAF пропустил, когда запрос поступил как входящий трафик.

Секвестр идентифицированных сеансов атаки

Атаки нулевого дня обычно не являются предложением «один и готово»; вы можете неоднократно подвергаться атаке в рамках активного сеанса атаки. Возможность обнаруживать эти повторяющиеся атаки и автоматически блокировать их не только снижает риск, но также может предоставить проверяемый журнал сеансов атак. Эта возможность «ловушки и отслеживания» действительно полезна для криминалистического анализа.

Содержит радиус взрыва

Многоуровневая защита направлена ​​на минимизацию риска. Но вы, возможно, не сможете полностью исключить вероятность того, что эксплойт нулевого дня может просочиться. В этом случае наличие блоков для сдерживания угрозы имеет решающее значение. Внедрение некоторой формы микросегментации поможет предотвратить боковое перемещение, нарушить цепочку киберубийств, ограничить «радиус взрыва» и смягчить воздействие атаки.

Не существует единой волшебной формулы защиты от атак нулевого дня. Но применение ряда защитных стратегий и тактик скоординированным (и, в идеале, автоматизированным) способом может помочь свести к минимуму поверхность угрозы. Прикрытие описанных здесь баз может в значительной степени укрепить вашу оборону и помочь свести к минимуму огневые учения, которые подрывают боевой дух команды.