den senaste tidens Atlassian Confluence Fjärrkodexekveringsfel är bara det senaste exemplet på nolldagarshot som riktar sig mot kritiska sårbarheter inom stora infrastrukturleverantörer. Det specifika hotet, en Object-Graph Navigation Language (OGNL)-injektion, har funnits i flera år men fick ny betydelse med tanke på omfattningen av Atlassian-exploateringen. Och OGNL-attacker ökar.
När dåliga skådespelare hittar en sådan sårbarhet börjar proof-of-concept exploateringar knacka på dörren och söka oautentiserad åtkomst för att skapa nya administratörskonton, utföra fjärrkommandon och ta över servrar. I Atlassian-fallet identifierade Akamais hotforskningsteam att antalet unika IP-adresser som försökte dessa utnyttjar växte till mer än 200 inom bara 24 timmar.
Att försvara sig mot dessa bedrifter blir en kapplöpning mot tiden värdig en 007-film. Klockan tickar och du har inte mycket tid på dig att implementera en patch och "desarmera" hotet innan det är för sent. Men först måste du veta att en exploit är på gång. Det kräver ett proaktivt, flerskiktigt tillvägagångssätt för onlinesäkerhet baserat på noll förtroende.
Hur ser dessa lager ut? Tänk på följande praxis som säkerhetsteam – och deras tredjepartswebbapplikationer och infrastrukturpartners – bör vara medvetna om.
Övervaka sårbarhetsarkiv
Masssårbarhetsskanningsverktyg som Nucleis community-baserade skanner eller Metasploit penetrationstestning är populära verktyg för säkerhetsteam. De är också populära bland dåliga skådespelare som letar efter proof-of-concept exploateringskod som hjälper dem att söka efter sprickor i rustningen. Att övervaka dessa arkiv för nya mallar som kan utformas för att identifiera potentiella exploateringsmål är ett viktigt steg för att upprätthålla medvetenheten om potentiella hot och ligga steget före de svarta hattarna.
Få ut det mesta av din WAF
Vissa kan peka på Brandväggar för webbapplikationer (WAF) som ineffektiva mot zero-day attacker, men de kan fortfarande spela en roll för att mildra hotet. Förutom att filtrera trafik för kända attacker, när en ny sårbarhet identifieras, kan en WAF användas för att snabbt implementera en "virtuell patch", skapa en anpassad regel för att förhindra en nolldagars exploatering och ge dig lite andrum medan du arbetar att implementera en permanent patch. Det finns några nackdelar med detta som en långsiktig lösning, som potentiellt påverkar prestandan när regler sprids för att motverka nya hot. Men det är en förmåga värd att ha i din defensiva arsenal.
Övervaka klientens rykte
När man analyserar attacker, inklusive nolldagshändelser, är det vanligt att de använder många av samma komprometterade IP-adresser – från öppna proxyservrar till dåligt skyddade IoT-enheter – för att leverera sina nyttolaster. Att ha ett försvar av klientens rykte som blockerar misstänkt trafik som kommer från dessa källor kan ge ytterligare ett lager av försvar mot nolldagsattacker. Att underhålla och uppdatera en kundryktedatabas är inte en liten uppgift, men det kan dramatiskt minska risken för att en exploatering ska få åtkomst.
Kontrollera dina trafikpriser
IP-adresser som hamrar dig med trafik kan vara ett tips till en attack. Att filtrera bort dessa IP-adresser är ett annat sätt att minska din attackyta. Även om smarta angripare kan distribuera sina missbruk över många olika IP-adresser för att undvika upptäckt, kan hastighetskontroll hjälpa till att filtrera bort attacker som inte går så långt.
Se upp för bots
Angripare använder skript, webbläsarimitatörer och andra smutskastningar för att efterlikna en verklig, levande person som loggar in på en webbplats. Att implementera någon form av automatiserat botförsvar som utlöser när det upptäcker avvikande begäranbeteende kan vara extremt värdefullt för att minska risken.
Förbise inte utgående aktivitet
Ett vanligt scenario för angripare som försöker extern kod exekvering (RCE) penetrationstestning är att skicka ett kommando till målwebbservern för att utföra signalering utanför bandet för att göra ett utgående DNS-anrop till en beaconing-domän som kontrolleras av angriparen. Om servern ringer, bingo - de hittade en sårbarhet. Att övervaka utgående trafik från system som inte borde generera den trafiken är ett ofta förbisett sätt att upptäcka ett hot. Detta kan också hjälpa till att upptäcka eventuella anomalier som WAF missade när förfrågan kom som inkommande trafik.
Sekvester identifierade attacksessioner
Nolldagsattacker är vanligtvis inte ett "ett och gjort"-förslag; du kan bli måltavla upprepade gånger som en del av en aktiv attacksession. Att ha ett sätt att upptäcka dessa upprepade attacker och automatiskt binda dem minskar inte bara risken, utan det kan också ge en granskningsbar logg över attacksessionerna. Denna "fånga och spåra"-funktion är verkligen användbar för kriminalteknisk analys.
Innehåll sprängradien
Flerskiktsförsvar handlar om att minimera risker. Men du kanske inte helt kan eliminera chansen att en zero-day exploit kan gnissla igenom. I så fall är det viktigt att ha block för att begränsa hotet. Att implementera någon form av mikrosegmentering kommer att hjälpa till att förhindra sidorörelser, störa cyberdödskedjan, begränsa "sprängradien" och mildra effekterna av en attack.
Det finns ingen enskild magisk formel för att försvara sig mot nolldagsattacker. Men att tillämpa en rad defensiva strategier och taktiker på ett koordinerat (och helst automatiserat) sätt kan hjälpa till att minimera din hotyta. Att täcka baserna som beskrivs här kan stärka ditt försvar långt och hjälpa till att minimera brandövningarna som urholkar teammoralen.
