Nedavna Atlasijsko sotočje Napaka pri izvajanju kode na daljavo je le zadnji primer groženj ničelnega dne, ki ciljajo na kritične ranljivosti pri večjih ponudnikih infrastrukture. Posebna grožnja, vnos navigacijskega jezika Object-Graph (OGNL), je prisotna že leta, vendar je zaradi obsega izkoriščanja Atlassian dobila nov pomen. In napadi OGNL so v porastu.
Ko slabi akterji odkrijejo takšno ranljivost, začnejo na vrata trkati izkoriščanja dokazov o konceptu, ki iščejo nepooblaščen dostop za ustvarjanje novih skrbniških računov, izvajanje oddaljenih ukazov in prevzem strežnikov. V primeru Atlassian je skupina za raziskovanje groženj Akamai ugotovila, da je število edinstvenih naslovov IP, ki so poskusili te napade, naraslo na več kot 200 v samo 24 urah.
Obramba pred temi podvigi postane tekma s časom, vredna filma 007. Ura tiktaka in nimate veliko časa za implementacijo popravka in »razbremenitev« grožnje, preden bo prepozno. Toda najprej morate vedeti, da je v teku izkoriščanje. To zahteva proaktiven, večplasten pristop k spletni varnosti, ki temelji na ničelnem zaupanju.
Kako izgledajo te plasti? Upoštevajte naslednje prakse, ki bi se jih morale zavedati varnostne ekipe – ter njihovi partnerji spletnih aplikacij in infrastrukture tretjih oseb.
Spremljajte skladišča ranljivosti
Orodja za množično skeniranje ranljivosti, kot je Nucleijev skupnostni skener oz Metasploit penetracijski testi so priljubljena orodja za varnostne ekipe. Prav tako so priljubljeni med slabimi igralci, ki iščejo kodo izkoriščanja dokazov o konceptu, ki jim bo pomagala raziskati razpoke v oklepu. Spremljanje teh repozitorijev za nove predloge, ki so lahko zasnovane za prepoznavanje potencialnih tarč izkoriščanja, je pomemben korak za ohranjanje zavedanja o morebitnih grožnjah in ostajanje korak pred črnimi klobuki.
Kar najbolje izkoristite svoj WAF
Nekateri lahko kažejo na Požarni zidovi spletnih aplikacij (WAF) kot neučinkoviti proti napadom ničelnega dne, vendar lahko še vedno igrajo vlogo pri blaženju grožnje. Poleg filtriranja prometa za znane napade lahko WAF, ko je prepoznana nova ranljivost, uporabimo za hitro implementacijo »navideznega popravka«, s čimer ustvarimo pravilo po meri, da preprečimo izkoriščanje ničelnega dne in vam damo nekaj prostora med delom. za implementacijo trajnega popravka. To kot dolgoročna rešitev ima nekaj slabosti, ki lahko vplivajo na delovanje, saj se pravila množijo za preprečevanje novih groženj. Vendar je to sposobnost, ki jo je vredno imeti v svojem obrambnem arzenalu.
Spremljajte ugled stranke
Pri analizi napadov, vključno z dogodki ničelnega dne, je pogosto videti, da uporabljajo veliko istih ogroženih IP-jev – od odprtih proxyjev do slabo zaščitenih naprav IoT – za dostavo svojih koristnih obremenitev. Zaščita ugleda stranke, ki blokira sumljiv promet, ki izvira iz teh virov, lahko zagotovi še eno raven obrambe pred napadi ničelnega dne. Vzdrževanje in posodabljanje baze podatkov o ugledu strank ni majhna naloga, vendar lahko dramatično zmanjša tveganje, da bi zloraba pridobila dostop.
Nadzorujte svoje stopnje prometa
IP-ji, ki vas obremenjujejo s prometom, so lahko namig za napad. Filtriranje teh IP-jev je še en način za zmanjšanje površine napada. Medtem ko lahko pametni napadalci svoje izkoriščanje porazdelijo po številnih različnih IP-jih, da bi se izognili odkrivanju, lahko nadzor hitrosti pomaga filtrirati napade, ki ne gredo tako dolgo.
Pazite se botov
Napadalci uporabljajo skripte, imitatorje brskalnika in druge pretvarjanja, da posnemajo pravo, živo osebo, ki se prijavlja na spletno mesto. Implementacija neke oblike avtomatizirane obrambe botov, ki se sproži, ko zazna neobičajno vedenje zahtev, je lahko izjemno dragocena pri zmanjševanju tveganja.
Ne spreglejte izhodne dejavnosti
Pogost scenarij za napadalce, ki poskušajo izvedba oddaljenega kode (RCE) preizkušanje prodora je pošiljanje ukaza ciljnemu spletnemu strežniku za izvedbo zunajpasovnega signaliziranja za izhodni klic DNS v domeno svetilnika, ki jo nadzoruje napadalec. Če strežnik opravi klic, bingo — našli so ranljivost. Spremljanje odhodnega prometa iz sistemov, ki tega prometa ne bi smeli ustvarjati, je pogosto spregledan način za odkrivanje grožnje. To lahko tudi pomaga odkriti morebitne anomalije, ki jih je WAF spregledal, ko je zahteva prišla kot dohodni promet.
Identificirane napadalne seje Sequester
Napadi ničelnega dne običajno niso predlog "enkrat in končano"; lahko ste večkrat tarča kot del aktivne napadalne seje. Če imate možnost opaziti te ponavljajoče se napade in jih samodejno ločiti, ne le zmanjšate tveganje, ampak lahko zagotovite tudi dnevnik napadov, ki ga je mogoče pregledati. Ta zmožnost »pasti in sledi« je resnično uporabna za forenzično analizo.
Vsebuje radij eksplozije
Pri večplastni obrambi gre za zmanjšanje tveganja. Toda morda ne boste mogli popolnoma izključiti možnosti, da bi lahko prišlo do izkoriščanja ničelnega dne. V tem primeru je ključnega pomena imeti bloke za zadrževanje grožnje. Izvedba neke oblike mikrosegmentacije bo pomagala preprečiti bočno premikanje, prekinitev verige kibernetskih ubijanj, omejitev "polmera eksplozije" in ublažitev vpliva napada.
Ne obstaja ena sama čarobna formula za obrambo pred napadi ničelnega dne. Toda uporaba vrste obrambnih strategij in taktik na usklajen (in v idealnem primeru avtomatiziran) način lahko pomaga zmanjšati površino vaše grožnje. Pokrivanje tukaj opisanih osnov lahko veliko pripomore k krepitvi vaše obrambe in pomaga zmanjšati požarne vaje, ki spodkopavajo moralo ekipe.
- blockchain
- kriptokurrency denarnice
- kripto izmenjava
- kibernetska varnost
- cybercriminals
- Cybersecurity
- Temno branje
- oddelek za domovinsko varnost
- digitalne denarnice
- požarni zid
- Kaspersky
- zlonamerna programska oprema
- Mccafee
- NexBLOC
- platon
- platon ai
- Platonova podatkovna inteligenca
- Igra Platon
- PlatoData
- platogaming
- VPN
- spletna varnost
