最近 阿特拉斯融合 远程代码执行错误只是针对主要基础设施提供商中关键漏洞的零日威胁的最新示例。 具体威胁,即对象图导航语言 (OGNL) 注入,已经存在多年,但考虑到 Atlassian 漏洞利用的范围,它具有新的意义。 OGNL 攻击正在上升。
一旦不良行为者发现此类漏洞,概念验证漏洞就会开始敲门,寻求未经身份验证的访问权限以创建新的管理员帐户、执行远程命令并接管服务器。 在 Atlassian 案例中,Akamai 的威胁研究团队发现,尝试这些攻击的唯一 IP 地址数量在短短 200 小时内增长到 24 多个。
防御这些漏洞就像一场与 007 电影的时间赛跑。 时间在流逝,您没有太多时间来实施补丁并在为时已晚之前“化解”威胁。 但首先你需要知道一个漏洞正在发生。 这需要一种基于零信任的主动、多层次的在线安全方法。
这些层看起来像什么? 考虑安全团队及其第三方 Web 应用程序和基础架构合作伙伴应注意的以下做法。
监控漏洞库
大规模漏洞扫描工具,例如 Nuclei 的基于社区的扫描仪或 Metasploit的 渗透测试是安全团队的流行工具。 它们在寻找概念验证漏洞利用代码的不良行为者中也很受欢迎,这些代码将帮助他们探测装甲中的裂缝。 监视这些存储库中可能旨在识别潜在攻击目标的新模板是保持对潜在威胁的认识并领先于黑帽的重要一步。
充分利用您的 WAF
有些人可能会指出 Web应用程序防火墙 (WAF)对零日攻击无效,但它们仍然可以在缓解威胁方面发挥作用。 除了过滤已知攻击的流量外,当发现新漏洞时,WAF 可用于快速实施“虚拟补丁”,创建自定义规则以防止零日攻击,并在工作时为您提供一些喘息的空间实施永久补丁。 作为一种长期解决方案,这有一些缺点,随着规则的增加以应对新的威胁,可能会影响性能。 但这是你的防守武器库中值得拥有的能力。
监控客户声誉
在分析攻击(包括零日事件)时,通常会看到它们使用许多相同的受感染 IP(从开放代理到保护不佳的物联网设备)来传递其有效负载。 拥有阻止源自这些来源的可疑流量的客户端信誉防御可以提供更多一层防御零日攻击。 维护和更新客户端信誉数据库不是一项小任务,但它可以显着降低漏洞获取访问权限的风险。
控制您的流量率
用流量打击您的 IP 可能是攻击的提示。 过滤掉这些 IP 是另一种减少攻击面的方法。 虽然聪明的攻击者可能会将他们的攻击分布在许多不同的 IP 上以避免被检测到,但速率控制可以帮助过滤掉没有达到这种长度的攻击。
当心机器人
攻击者使用脚本、浏览器模仿者和其他诡计来模仿真实的、活生生的人登录到网站。 实施某种形式的自动机器人防御,在检测到异常请求行为时触发,这对于降低风险非常有价值。
不要忽视出站活动
攻击者尝试的常见场景 远程代码执行 (RCE) 渗透测试是向目标 Web 服务器发送命令以执行带外信令,以向攻击者控制的信标域进行出站 DNS 调用。 如果服务器拨打电话,宾果游戏——他们发现了一个漏洞。 监控来自不应生成该流量的系统的出站流量是发现威胁的一种经常被忽视的方法。 这也有助于发现 WAF 在请求作为传入流量时遗漏的任何异常。
隔离识别的攻击会话
零日攻击通常不是“一劳永逸”的主张。 作为主动攻击会话的一部分,您可能会反复成为目标。 有办法发现这些重复攻击并自动隔离它们不仅可以降低风险,而且还可以提供可审计的攻击会话日志。 这种“陷阱和追踪”功能对于取证分析非常有用。
包含爆炸半径
多层防御旨在最大限度地降低风险。 但是您可能无法完全消除零日漏洞利用的机会。 在这种情况下,阻止威胁是至关重要的。 实施某种形式的微分段将有助于防止横向移动、破坏网络杀伤链、限制“爆炸半径”并减轻攻击的影响。
防御零日攻击没有单一的魔法公式。 但是,以协调(理想情况下是自动化)的方式应用一系列防御策略和战术可以帮助最大限度地减少威胁面。 覆盖此处概述的基地可以大大增强您的防御能力,并有助于最大程度地减少削弱团队士气的消防演习。
