زیرو ڈے ڈیفنس: خطرے کو کم کرنے کے لیے نکات

حالیہ اٹلسین سنگم ریموٹ کوڈ ایگزیکیوشن بگ صفر دن کے خطرات کی تازہ ترین مثال ہے جو بڑے بنیادی ڈھانچے کے فراہم کنندگان کے اندر اہم خطرات کو نشانہ بناتی ہے۔ مخصوص خطرہ، ایک آبجیکٹ-گراف نیویگیشن لینگویج (OGNL) انجیکشن، برسوں سے ہے لیکن اٹلاسیائی استحصال کی گنجائش کے پیش نظر اس نے نئی اہمیت اختیار کر لی ہے۔ اور OGNL کے حملے بڑھ رہے ہیں۔

ایک بار جب برے اداکاروں کو اس طرح کی کمزوری مل جاتی ہے، تو تصور کے ثبوت کے کارنامے دروازے پر دستک دینے لگتے ہیں، نئے ایڈمن اکاؤنٹس بنانے، ریموٹ کمانڈز پر عمل کرنے، اور سرورز کو سنبھالنے کے لیے غیر مستند رسائی کی تلاش میں۔ Atlassian کیس میں، Akamai کی تھریٹ ریسرچ ٹیم نے شناخت کیا کہ ان کارناموں کی کوشش کرنے والے منفرد IP پتوں کی تعداد صرف 200 گھنٹوں کے اندر 24 سے زیادہ ہو گئی۔

ان کارناموں کے خلاف دفاع 007 کی فلم کے قابل وقت کے خلاف ایک دوڑ بن جاتا ہے۔ گھڑی ٹک ٹک کر رہی ہے اور آپ کے پاس زیادہ وقت نہیں ہے کہ کسی پیچ کو لاگو کریں اور خطرے کو "کم کرنے" سے پہلے بہت دیر ہو جائے۔ لیکن پہلے آپ کو یہ جاننے کی ضرورت ہے کہ ایک استحصال جاری ہے۔ اس کے لیے صفر اعتماد پر مبنی آن لائن سیکیورٹی کے لیے ایک فعال، کثیر الجہتی نقطہ نظر کی ضرورت ہے۔

یہ پرتیں کیسی نظر آتی ہیں؟ مندرجہ ذیل طریقوں پر غور کریں جن کے بارے میں سیکیورٹی ٹیمیں — اور ان کے تیسرے فریق ویب ایپلیکیشن اور انفراسٹرکچر پارٹنرز — کو آگاہ ہونا چاہیے۔

Vulnerability Repositories کی نگرانی کریں۔

بڑے پیمانے پر کمزوری اسکیننگ ٹولز جیسے نیوکلی کا کمیونٹی پر مبنی اسکینر یا میٹاسپلوٹ دخول کی جانچ سیکورٹی ٹیموں کے لیے مقبول ٹولز ہیں۔ وہ برے اداکاروں میں بھی مقبول ہیں جو تصور کے استحصالی کوڈ کی تلاش میں ہیں جو انہیں بکتر میں دراڑیں تلاش کرنے میں مدد فراہم کرے گا۔ نئے ٹیمپلیٹس کے لیے ان ذخیروں کی نگرانی کرنا جو ممکنہ استحصالی اہداف کی شناخت کے لیے ڈیزائن کیے جا سکتے ہیں ممکنہ خطرات سے آگاہی برقرار رکھنے اور سیاہ ٹوپیوں سے ایک قدم آگے رہنے کے لیے ایک اہم قدم ہے۔

اپنے WAF سے زیادہ سے زیادہ فائدہ اٹھائیں۔

کچھ اشارہ کر سکتے ہیں۔ ویب ایپلیکیشن فائر والز (WAFs) صفر دن کے حملوں کے خلاف غیر موثر ہیں، لیکن وہ پھر بھی خطرے کو کم کرنے میں اپنا کردار ادا کر سکتے ہیں۔ معلوم حملوں کے لیے ٹریفک کو فلٹر کرنے کے علاوہ، جب کسی نئے خطرے کی نشاندہی کی جاتی ہے، تو WAF کا استعمال تیزی سے "ورچوئل پیچ" کو لاگو کرنے کے لیے کیا جا سکتا ہے، جو کہ صفر دن کے استحصال کو روکنے کے لیے ایک حسب ضرورت اصول بناتا ہے اور آپ کو کام کے دوران سانس لینے کے لیے کچھ کمرہ فراہم کرتا ہے۔ ایک مستقل پیچ کو لاگو کرنے کے لئے. ایک طویل مدتی حل کے طور پر اس کے کچھ نشیب و فراز ہیں، جو ممکنہ طور پر کارکردگی کو متاثر کر سکتے ہیں کیونکہ نئے خطرات کا مقابلہ کرنے کے لیے قوانین پھیلتے ہیں۔ لیکن یہ آپ کے دفاعی ہتھیاروں میں ہونے کے قابل ہے۔

کلائنٹ کی ساکھ کی نگرانی کریں۔

حملوں کا تجزیہ کرتے وقت، جن میں صفر دن کے واقعات شامل ہیں، یہ عام بات ہے کہ وہ ان کے پے لوڈس فراہم کرنے کے لیے - کھلے پراکسیز سے لے کر غیر محفوظ IoT آلات تک - ایک جیسے سمجھوتہ کیے گئے آئی پی کا استعمال کرتے ہوئے دیکھیں۔ کلائنٹ کی ساکھ کا دفاع جو ان ذرائع سے آنے والی مشکوک ٹریفک کو روکتا ہے، صفر دن کے حملوں سے دفاع کی ایک اور تہہ فراہم کر سکتا ہے۔ کلائنٹ کی ساکھ کے ڈیٹا بیس کو برقرار رکھنا اور اپ ڈیٹ کرنا کوئی چھوٹا کام نہیں ہے، لیکن یہ ڈرامائی طور پر رسائی حاصل کرنے کے استحصال کے خطرے کو کم کر سکتا ہے۔

اپنے ٹریفک کے نرخوں کو کنٹرول کریں۔

ایسے IPs جو آپ کو ٹریفک کے ساتھ ہتھوڑا کر رہے ہیں ایک حملے کا اشارہ ہو سکتا ہے۔ ان IPs کو فلٹر کرنا آپ کے حملے کی سطح کو کم کرنے کا ایک اور طریقہ ہے۔ اگرچہ ہوشیار حملہ آور پتہ لگانے سے بچنے کے لیے اپنے کارناموں کو بہت سے مختلف IPs میں تقسیم کر سکتے ہیں، لیکن شرح کنٹرول ان حملوں کو فلٹر کرنے میں مدد کر سکتا ہے جو اس حد تک نہیں جاتے ہیں۔

بوٹس پر نگاہ رکھیں

حملہ آور اسکرپٹس، براؤزر کی نقالی، اور دیگر سبٹرفیوجز کا استعمال کرتے ہیں تاکہ کسی ویب سائٹ پر لاگ ان ہونے والے حقیقی، زندہ شخص کی نقل کی جا سکے۔ خودکار بوٹ ڈیفنس کی کچھ شکلوں کو نافذ کرنا جو اس وقت متحرک ہوتا ہے جب اسے غیر متضاد درخواست کے رویے کا پتہ چلتا ہے خطرے کو کم کرنے میں انتہائی قیمتی ہو سکتا ہے۔

آؤٹ باؤنڈ سرگرمی کو نظر انداز نہ کریں۔

حملہ آوروں کی کوشش کے لیے ایک عام منظر ریموٹ کوڈ پر عمل درآمد۔ (RCE) دخول کی جانچ حملہ آور کے زیر کنٹرول بیکننگ ڈومین پر آؤٹ باؤنڈ DNS کال کرنے کے لیے آؤٹ آف بینڈ سگنلنگ کرنے کے لیے ہدف ویب سرور کو کمانڈ بھیجنا ہے۔ اگر سرور کال کرتا ہے، بنگو - انہیں ایک خطرہ ملا۔ ایسے سسٹمز سے آؤٹ باؤنڈ ٹریفک کی نگرانی کرنا جو کہ ٹریفک کو خطرہ پیدا کرنے کا اکثر نظر انداز کرنے والا طریقہ ہے۔ اس سے کسی بھی بے ضابطگیوں کو تلاش کرنے میں بھی مدد مل سکتی ہے جو کہ آنے والی ٹریفک کے طور پر درخواست آنے پر WAF نے چھوٹ دی تھی۔

Sequester شناخت شدہ حملے کے سیشن

صفر دن کے حملے عام طور پر "ایک اور مکمل" تجویز نہیں ہوتے ہیں۔ آپ کو ایک فعال حملہ سیشن کے حصے کے طور پر بار بار نشانہ بنایا جا سکتا ہے۔ ان دہرائے جانے والے حملوں کی نشاندہی کرنے اور انہیں خود بخود الگ کرنے کا طریقہ نہ صرف خطرے کو کم کرتا ہے بلکہ یہ حملے کے سیشنوں کا قابل سماعت لاگ بھی فراہم کر سکتا ہے۔ یہ "ٹریپ اور ٹریس" کی صلاحیت فرانزک تجزیہ کے لیے واقعی مفید ہے۔

دھماکے کے رداس پر مشتمل ہے۔

کثیر سطحی دفاع خطرے کو کم کرنے کے بارے میں ہے۔ لیکن آپ اس موقع کو مکمل طور پر ختم کرنے کے قابل نہیں ہوسکتے ہیں کہ صفر دن کے استحصال کو ختم کر سکتا ہے۔ اس صورت میں، خطرے پر قابو پانے کے لیے بلاکس کا ہونا ضروری ہے۔ مائیکرو سیگمنٹیشن کی کچھ شکلوں کو نافذ کرنے سے پس منظر کی نقل و حرکت کو روکنے، سائبر کِل چین میں خلل ڈالنے، "دھماکے کے رداس" کو محدود کرنے اور حملے کے اثرات کو کم کرنے میں مدد ملے گی۔

صفر دن کے حملوں کے خلاف دفاع کے لیے کوئی واحد جادوئی فارمولا نہیں ہے۔ لیکن ایک مربوط (اور، مثالی طور پر، خودکار) طریقے سے دفاعی حکمت عملیوں اور حکمت عملیوں کی ایک رینج کا اطلاق آپ کے خطرے کی سطح کو کم کرنے میں مدد کر سکتا ہے۔ یہاں بیان کردہ اڈوں کا احاطہ کرنا آپ کے دفاع کو مضبوط بنانے اور ٹیم کے حوصلے کو کم کرنے والی فائر ڈرلز کو کم کرنے میں مدد دے سکتا ہے۔