Průvodce nulovým dnem pro rok 2020: nedávné útoky a pokročilé preventivní techniky

Ilai Bavati
před 2 roky

chyby zabezpečení v nultém dni umožňují aktérům hrozeb využívat bezpečnostní blindspoty. Útok s nulovým dnem obvykle zahrnuje identifikaci zranitelností s nulovým dnem, vytváření příslušných exploitů, identifikaci zranitelných systémů a plánování útoku. Další kroky jsou infiltrace a spuštění.

tento článek zkoumá tři nedávné útoky s nulovým dnem, které se zaměřily na Microsoft, Internet Explorer a Sophos. Nakonec se dozvíte o čtyřech řešeních ochrany a prevence nulových dnů-NGAV, EDR, IPsec a řízení přístupu k síti.

co je zranitelnost nulového dne?

zero-day zranitelnosti jsou kritické hrozby, které ještě nejsou veřejně zveřejněny nebo které jsou objeveny pouze v důsledku útoku. Podle definice prodejci a uživatelé o této zranitelnosti ještě nevědí. Termín zero-day vychází z doby, kdy je Hrozba objevena (den nula). Od tohoto dne probíhá závod mezi bezpečnostními týmy a útočníky, aby nejprve opravili nebo využili hrozbu.

anatomie útoku s nulovým dnem

k útoku s nulovým dnem dochází, když zločinci zneužívají zranitelnost s nulovým dnem. Časová osa útoku s nulovým dnem často zahrnuje následující kroky.

1. identifikace zranitelností: zločinci testují otevřený zdrojový kód a proprietární aplikace na zranitelnosti, které dosud nebyly hlášeny. Útočníci se mohou také obrátit na černé trhy, aby získali informace o zranitelnostech, které ještě nejsou veřejné.
2. vytvoření exploitů: útočníci vytvoří sadu, skript nebo proces, který jim umožní zneužít zjištěnou chybu zabezpečení.
3. identifikace zranitelných systémů: jakmile je k dispozici exploit, útočníci začnou hledat postižené systémy. To může zahrnovat použití automatizovaných skenerů, botů nebo ručního sondování.
4. plánování útoku: typ útoku, který chce zločinec dosáhnout, určuje tento krok. Pokud je útok zaměřen, útočníci obvykle provádějí průzkum, aby snížili svou šanci na dopadení a zvýšili šanci na úspěch. U obecných útoků zločinci častěji používají phishingové kampaně nebo roboty, aby se pokusili zasáhnout co nejvíce cílů co nejrychleji.
5. infiltrace a spuštění: Pokud chyba zabezpečení vyžaduje první infiltraci systému, útočníci na tom pracují před nasazením exploitu. Pokud však lze zranitelnost zneužít k získání vstupu, zneužití se použije přímo.

nedávné příklady útoků

efektivní prevence útoků s nulovým dnem je významnou výzvou pro jakýkoli bezpečnostní tým. Tyto útoky přicházejí bez varování a mohou obejít mnoho bezpečnostních systémů. Zejména ty, které se spoléhají na metody založené na podpisu. Chcete-li zlepšit vaši bezpečnost a snížit riziko, můžete začít tím, že se dozvíte o typech útoků, ke kterým došlo nedávno.

Microsoft

v březnu 2020 společnost Microsoft varovala uživatele před nulovými útoky využívajícími dvě samostatné zranitelnosti. Tyto chyby zabezpečení ovlivnily všechny podporované verze systému Windows a až o několik týdnů později se neočekávala žádná oprava. V současné době neexistuje identifikátor CVE pro tuto chybu zabezpečení.

útoky cílené vzdálené spuštění kódu (rce) zranitelnosti v knihovně Adobe Type Manager (ATM). Tato knihovna je zabudována do systému Windows pro správu písem PostScript typu 1. Chyby v ATM umožnily útočníkům používat škodlivé dokumenty k vzdálenému spouštění skriptů. Dokumenty dorazily prostřednictvím spamu nebo byly staženy nic netušícími uživateli. Při otevření nebo náhledu pomocí Průzkumníka souborů systému Windows by se skripty spouštěly a infikovaly uživatelská zařízení.

Internet Explorer

Internet Explorer (IE), starší prohlížeč společnosti Microsoft, je dalším nedávným zdrojem útoků s nulovým dnem. K této chybě zabezpečení (CVE-2020-0674) dochází v důsledku chyby ve způsobu, jakým skriptovací stroj IE spravuje objekty v paměti. To ovlivnilo IE V9-11.

útočníci jsou schopni využít tuto chybu zabezpečení tím, že podvádějí uživatele k návštěvě webové stránky vytvořené za účelem zneužití chyby. Toho lze dosáhnout prostřednictvím phishingových e-mailů nebo přesměrováním odkazů a požadavků na server.

Sophos

v dubnu 2020 byly hlášeny nulové útoky proti XG firewallu Sophos. Tyto útoky se pokusily zneužít zranitelnost SQL injection (CVE-2020-12271) zaměřenou na vestavěný databázový server PostgreSQL brány firewall.

pokud bude tato chyba zabezpečení úspěšně zneužita, umožní útočníkům vložit kód do databáze. Tento kód lze použít k úpravě nastavení brány firewall, udělení přístupu k systémům nebo povolení instalace malwaru.

ochrana a prevence

Chcete-li správně bránit proti útokům s nulovým dnem, musíte nad stávající nástroje a strategie vrstvit pokročilé ochrany. Níže uvádíme několik řešení a postupů, které vám pomohou odhalit a zabránit neznámým hrozbám.

Next-generation antivirus

Next-generation antivirus (NGAV) rozšiřuje tradiční antivirus. Dělá to tím, že zahrnuje funkce pro strojové učení, detekci chování a zmírnění využití. Tyto funkce umožňují NGAV detekovat malware, i když není znám žádný podpis nebo hash souboru (na který se tradiční AV spoléhá).

navíc jsou tato řešení často založena na cloudu, což vám umožňuje nasadit nástroje izolovaně a v měřítku. To pomáhá zajistit, že všechna vaše zařízení jsou chráněna a že ochrana zůstává aktivní, i když jsou zařízení ovlivněna.

Endpoint detection and response

Endpoint detection and response (EDR) řešení poskytují viditelnost, monitorování a automatickou ochranu vašich koncových bodů. Tato řešení monitorují veškerý provoz koncových bodů a mohou pomocí umělé inteligence klasifikovat podezřelé chování koncových bodů, jako například časté požadavky nebo připojení ze zahraničních IP adres. Tyto funkce umožňují blokovat hrozby bez ohledu na metodu útoku.

kromě toho lze funkce EDR použít ke sledování a sledování uživatelů nebo souborů. Pokud se sledovaný aspekt chová v rámci běžných pokynů, neprovádějí se žádná opatření. Jakmile se však chování odchýlí, mohou být upozorněny bezpečnostní týmy.

tyto funkce nevyžadují žádnou znalost konkrétních hrozeb. Místo toho schopnosti využívají inteligenci hrozeb k obecnému srovnání. Díky tomu je EDR účinný proti útokům s nulovým dnem.

IP security

IP Security (IPsec) je sada standardních protokolů používaných Internet engineering task forces (Ietfs). Umožňuje týmům uplatňovat opatření pro ověřování dat a ověřovat integritu a důvěrnost mezi spojovacími body. Umožňuje také šifrování a bezpečnou správu a výměnu klíčů.

IPsec můžete použít k ověření a šifrování veškerého síťového provozu. To vám umožní zabezpečit připojení a rychle identifikovat a reagovat na jakýkoli nesíťový nebo podezřelý provoz. Tyto schopnosti vám umožňují zvýšit obtížnost využívání zranitelností v nulovém dni a snížit šanci, že útoky budou úspěšné.

implementujte ovládací prvky přístupu k síti

ovládací prvky přístupu k síti umožňují segmentovat vaše sítě velmi podrobným způsobem. To vám umožní přesně definovat, kteří uživatelé a zařízení mají přístup k vašim aktivům a jakým způsobem. To zahrnuje omezení přístupu pouze k těmto zařízením a uživatelům s příslušnými bezpečnostními záplatami nebo nástroji.

řízení přístupu k síti vám může pomoci zajistit, aby vaše systémy byly chráněny, aniž by zasahovaly do produktivity nebo nutily úplné omezení externího přístupu. Například typ přístupu potřebný při hostování softwaru jako služby (SaaS).

tyto ovládací prvky jsou prospěšné pro ochranu před hrozbami s nulovým dnem, protože vám umožňují zabránit bočnímu pohybu ve vašich sítích. To účinně izoluje jakékoli škody, které může způsobit hrozba nulového dne.

zůstat v bezpečí

nedávné útoky s nulovým dnem ukazují, že stále více aktérů hrozeb najde u uživatelů koncových bodů snadnou známku. Zero-day útok na Microsoft zneužil zranitelnosti ATM, aby přiměl uživatele k otevření malwaru. Když aktéři hrozeb zneužili zranitelnost Internet Explore zero-day, podvedli uživatele k návštěvě škodlivých webů. Nulový útok na Sophos by mohl potenciálně poskytnout uživateli přístup k aktérům hrozeb.

přestože je obtížné předvídat útoky s nulovým dnem, je možné těmto útokům zabránit a zablokovat je. Zabezpečení EDR umožňuje organizacím rozšířit viditelnost do koncových bodů a antivirus nové generace poskytuje ochranu před malwarem, aniž by se museli spoléhat na známé podpisy. Protokoly IPsec umožňují organizaci ověřovat a šifrovat síťový provoz a ovládací prvky přístupu k síti poskytují nástroje pro odepření přístupu škodlivým aktérům. Nedovolte, aby herci hrozeb měli navrch. Využitím a vrstvením několika z těchto nástrojů a přístupů můžete lépe chránit své zaměstnance, vaše data a vaši organizaci.