Gần đây Hợp lưu Atlassian lỗi thực thi mã từ xa chỉ là ví dụ mới nhất về các mối đe dọa zero-day nhắm vào các lỗ hổng nghiêm trọng trong các nhà cung cấp cơ sở hạ tầng lớn. Mối đe dọa cụ thể, một ngôn ngữ điều hướng đồ thị đối tượng (OGNL), đã xuất hiện trong nhiều năm nhưng mang ý nghĩa mới do phạm vi khai thác của Atlassian. Và các cuộc tấn công OGNL đang gia tăng.
Khi kẻ xấu tìm thấy lỗ hổng như vậy, các hoạt động khai thác bằng chứng khái niệm sẽ bắt đầu gõ cửa, tìm kiếm quyền truy cập không được xác thực để tạo tài khoản quản trị viên mới, thực thi lệnh từ xa và chiếm quyền điều khiển máy chủ. Trong trường hợp của Atlassian, nhóm nghiên cứu mối đe dọa của Akamai đã xác định rằng số lượng địa chỉ IP duy nhất cố gắng thực hiện các hoạt động khai thác này đã tăng lên hơn 200 chỉ trong vòng 24 giờ.
Bảo vệ chống lại những chiến công này trở thành một cuộc chạy đua với thời gian xứng đáng với một bộ phim 007. Đồng hồ đang điểm và bạn không có nhiều thời gian để thực hiện một bản vá và “xoa dịu” mối đe dọa trước khi quá muộn. Nhưng trước tiên bạn cần biết rằng việc khai thác đang được tiến hành. Điều đó đòi hỏi một cách tiếp cận chủ động, đa tầng đối với bảo mật trực tuyến dựa trên cơ sở không tin cậy.
Những lớp này trông như thế nào? Hãy xem xét các thực tiễn sau đây mà các nhóm bảo mật — và các đối tác cơ sở hạ tầng và ứng dụng Web bên thứ ba của họ — nên biết.
Theo dõi các kho dễ bị tổn thương
Các công cụ quét lỗ hổng hàng loạt như máy quét dựa vào cộng đồng của Nuclei hoặc metasploit kiểm tra thâm nhập là công cụ phổ biến cho các nhóm bảo mật. Chúng cũng phổ biến trong số những kẻ xấu đang tìm kiếm mã khai thác bằng chứng về khái niệm sẽ giúp họ thăm dò các vết nứt trên áo giáp. Theo dõi các kho lưu trữ này để tìm các mẫu mới có thể được thiết kế để xác định các mục tiêu khai thác tiềm năng là một bước quan trọng để duy trì nhận thức về các mối đe dọa tiềm ẩn và đi trước một bước so với mũ đen.
Tận dụng tối đa WAF của bạn
Một số có thể chỉ ra Tường lửa ứng dụng web (WAF) không hiệu quả trước các cuộc tấn công zero-day, nhưng chúng vẫn có thể đóng vai trò giảm thiểu mối đe dọa. Ngoài việc lọc lưu lượng truy cập để phát hiện các cuộc tấn công đã biết, khi xác định được một lỗ hổng bảo mật mới, WAF có thể được sử dụng để nhanh chóng triển khai “bản vá ảo”, tạo quy tắc tùy chỉnh để ngăn chặn hoạt động khai thác zero-day và giúp bạn có chút thời gian rảnh rỗi khi làm việc để thực hiện một bản vá vĩnh viễn. Giải pháp lâu dài này có một số nhược điểm, có khả năng ảnh hưởng đến hiệu suất khi các quy tắc ngày càng phổ biến để chống lại các mối đe dọa mới. Nhưng đó là một khả năng đáng có trong kho vũ khí phòng thủ của bạn.
Theo dõi danh tiếng của khách hàng
Khi phân tích các cuộc tấn công, bao gồm cả các sự kiện zero-day, người ta thường thấy chúng sử dụng nhiều IP bị xâm phạm giống nhau — từ proxy mở đến thiết bị IoT được bảo vệ kém — để phân phối tải trọng của chúng. Việc có biện pháp bảo vệ danh tiếng khách hàng để chặn lưu lượng truy cập đáng ngờ bắt nguồn từ những nguồn này có thể cung cấp thêm một lớp bảo vệ khỏi các cuộc tấn công zero-day. Duy trì và cập nhật cơ sở dữ liệu danh tiếng của khách hàng không phải là một nhiệm vụ nhỏ nhưng nó có thể làm giảm đáng kể nguy cơ bị kẻ khai thác giành quyền truy cập.
Kiểm soát tỷ lệ lưu lượng truy cập của bạn
Các IP đang cản trở lưu lượng truy cập của bạn có thể là dấu hiệu báo trước cho một cuộc tấn công. Lọc các IP đó là một cách khác để giảm bề mặt tấn công của bạn. Mặc dù những kẻ tấn công thông minh có thể phân phối các hoạt động khai thác của chúng trên nhiều IP khác nhau để tránh bị phát hiện, nhưng việc kiểm soát tỷ lệ có thể giúp lọc ra các cuộc tấn công không kéo dài đến mức đó.
Cảnh giác với bot
Những kẻ tấn công sử dụng các tập lệnh, trình duyệt mạo danh và các thủ đoạn phụ khác để bắt chước một người thực, đang trực tiếp đăng nhập vào một trang web. Việc triển khai một số hình thức bảo vệ bot tự động kích hoạt khi phát hiện hành vi yêu cầu bất thường có thể cực kỳ có giá trị trong việc giảm thiểu rủi ro.
Đừng bỏ qua hoạt động bên ngoài
Một kịch bản phổ biến cho những kẻ tấn công cố gắng thực thi mã từ xa (RCE) kiểm tra thâm nhập là gửi lệnh đến máy chủ Web mục tiêu để thực hiện báo hiệu ngoài băng tần nhằm thực hiện cuộc gọi DNS gửi đi đến miền báo hiệu do kẻ tấn công kiểm soát. Nếu máy chủ thực hiện cuộc gọi, hãy chơi lô tô - họ đã tìm thấy lỗ hổng. Giám sát lưu lượng truy cập đi từ các hệ thống không nên tạo ra lưu lượng truy cập đó là một cách thường bị bỏ qua để phát hiện mối đe dọa. Điều này cũng có thể giúp phát hiện bất kỳ điểm bất thường nào mà WAF đã bỏ sót khi yêu cầu đến dưới dạng lưu lượng truy cập đến.
Phiên tấn công được xác định theo trình tự
Các cuộc tấn công zero-day thường không phải là đề xuất “một lần là xong”; bạn có thể bị nhắm mục tiêu nhiều lần trong một phiên tấn công đang diễn ra. Việc có cách để phát hiện các cuộc tấn công lặp lại này và tự động sắp xếp chúng không chỉ giúp giảm rủi ro mà còn có thể cung cấp nhật ký có thể kiểm tra được về các phiên tấn công. Khả năng “bẫy và theo dõi” này thực sự hữu ích cho việc phân tích pháp y.
Chứa bán kính vụ nổ
Phòng thủ nhiều lớp nhằm giảm thiểu rủi ro. Nhưng bạn có thể không thể loại bỏ hoàn toàn khả năng khai thác zero-day có thể xảy ra. Trong trường hợp đó, việc có các khối để ngăn chặn mối đe dọa là rất quan trọng. Việc triển khai một số hình thức phân đoạn vi mô sẽ giúp ngăn chặn chuyển động ngang, làm gián đoạn chuỗi tiêu diệt mạng, hạn chế “bán kính vụ nổ” và giảm thiểu tác động của một cuộc tấn công.
Không có công thức kỳ diệu duy nhất để bảo vệ chống lại các cuộc tấn công zero-day. Tuy nhiên, việc áp dụng một loạt các chiến lược và chiến thuật phòng thủ theo cách phối hợp (và lý tưởng nhất là tự động hóa) có thể giúp giảm thiểu bề mặt mối đe dọa của bạn. Bảo vệ các căn cứ được phác thảo ở đây có thể giúp tăng cường khả năng phòng thủ của bạn một cách lâu dài và giúp giảm thiểu các cuộc tập trận hỏa lực làm xói mòn tinh thần của cả đội.
