Недавня Атласівське злиття Помилка віддаленого виконання коду є лише останнім прикладом загроз нульового дня, спрямованих на критичні вразливості в основних постачальниках інфраструктури. Конкретна загроза, ін’єкція мови навігації Object-Graph Navigation Language (OGNL), існує вже багато років, але набула нового значення з огляду на масштаби експлойту Atlassian. А атаки OGNL зростають.
Як тільки зловмисники знаходять таку вразливість, у двері починають стукати експлойти, що підтверджують концепцію, вимагаючи неавтентифікованого доступу для створення нових облікових записів адміністратора, виконання віддалених команд і захоплення серверів. У випадку з Atlassian група дослідження загроз Akamai виявила, що кількість унікальних IP-адрес, які намагалися здійснити ці експлойти, зросла до понад 200 лише за 24 години.
Захист від цих подвигів стає гонкою з часом, гідною фільму 007. Годинник цокає, і у вас не так багато часу, щоб застосувати виправлення та «знешкодити» загрозу, поки не стало надто пізно. Але спершу вам потрібно знати, що розробляється експлойт. Це вимагає проактивного, багаторівневого підходу до онлайн-безпеки, заснованого на нульовій довірі.
Як виглядають ці шари? Зверніть увагу на наведені нижче методи, про які слід знати командам безпеки та їхнім стороннім веб-додаткам і партнерам по інфраструктурі.
Відстежуйте сховища вразливостей
Інструменти масового сканування вразливостей, такі як сканер спільноти Nuclei або Metasploit Тестування на проникнення є популярним інструментом для команд безпеки. Вони також популярні серед поганих акторів, які шукають код експлойту для підтвердження концепції, який допоможе їм виявити тріщини в броні. Моніторинг цих сховищ на наявність нових шаблонів, які можуть бути розроблені для виявлення потенційних цілей експлойтів, є важливим кроком для підтримки обізнаності про потенційні загрози та бути на крок попереду чорних капелюхів.
Максимально використовуйте свій WAF
Деякі можуть вказати на Брандмауери веб-додатків (WAF) як неефективні проти атак нульового дня, але вони все одно можуть зіграти певну роль у пом’якшенні загрози. На додаток до фільтрації трафіку для відомих атак, коли виявлено нову вразливість, WAF можна використовувати для швидкого впровадження «віртуального патча», створюючи спеціальне правило, щоб запобігти експлойту нульового дня та дати вам трохи простору під час роботи для впровадження постійного патча. У цього довгострокового рішення є деякі недоліки, які потенційно можуть вплинути на продуктивність, оскільки правила поширюються для протидії новим загрозам. Але це здатність, яку варто мати у своєму захисному арсеналі.
Відстежуйте репутацію клієнта
Аналізуючи атаки, включно з подіями нульового дня, зазвичай можна побачити, що вони використовують багато тих самих скомпрометованих IP-адрес — від відкритих проксі-серверів до погано захищених пристроїв IoT — для доставки своїх корисних навантажень. Захист репутації клієнта, який блокує підозрілий трафік із цих джерел, може забезпечити ще один рівень захисту від атак нульового дня. Підтримка та оновлення бази даних репутації клієнта — непросте завдання, але воно може значно знизити ризик отримання доступу експлойтом.
Контролюйте свій трафік
IP-адреси, які забивають вас трафіком, можуть бути підказкою до атаки. Фільтрування цих IP-адрес — ще один спосіб зменшити площу атаки. Хоча розумні зловмисники можуть поширювати свої експлойти між багатьма різними IP-адресами, щоб уникнути виявлення, контроль швидкості може допомогти відфільтрувати атаки, які не досягають такої довжини.
Стережіться ботів
Зловмисники використовують сценарії, імітатори браузера та інші хитрощі, щоб імітувати справжню живу особу, яка входить на веб-сайт. Впровадження певної форми автоматизованого захисту від ботів, який спрацьовує, коли виявляє аномальну поведінку запиту, може бути надзвичайно цінним для зменшення ризику.
Не забувайте про вихідну активність
Звичайний сценарій спроб зловмисників віддалене виконання коду (RCE) тестування на проникнення полягає у надсиланні команди цільовому веб-серверу для виконання позасмугової сигналізації для здійснення вихідного виклику DNS до домену маяка, який контролює зловмисник. Якщо сервер робить виклик, bingo — вони знайшли вразливість. Моніторинг вихідного трафіку від систем, які не повинні генерувати цей трафік, часто забувають про спосіб виявлення загрози. Це також може допомогти виявити будь-які аномалії, які WAF пропустив, коли запит надійшов як вхідний трафік.
Сеанси ідентифікованих атак секвестру
Атаки нульового дня зазвичай не є пропозицією «один раз і готово»; ви можете неодноразово ставати ціллю під час активної атаки. Наявність способу виявлення цих повторних атак і автоматичного їх секвестру не тільки зменшує ризик, але й може забезпечити журнал сеансів атак, який можна перевірити. Ця можливість «пастки та сліду» дійсно корисна для криміналістичного аналізу.
Містить радіус вибуху
Багаторівневий захист — це мінімізація ризику. Але ви, можливо, не зможете повністю усунути ймовірність того, що експлойт нульового дня може проникнути. У такому випадку критично важливо мати блоки для стримування загрози. Впровадження певної форми мікросегментації допоможе запобігти бічному переміщенню, порушуючи ланцюг кіберубивств, обмежуючи «радіус вибуху» та пом’якшуючи вплив атаки.
Немає єдиної магічної формули захисту від атак нульового дня. Але скоординоване (і, в ідеалі, автоматизоване) застосування ряду захисних стратегій і тактик може допомогти мінімізувати вашу поверхню загрози. Охоплення зазначених тут основ може значною мірою допомогти зміцнити вашу оборону та допомогти звести до мінімуму протипожежні вправи, які підривають моральний дух команди.
