En nul-dages guide til 2020: nylige angreb og avancerede forebyggende teknikker
nul-dages sårbarheder gør det muligt for trusselaktører at drage fordel af sikkerhedsblindspots. Typisk involverer et nul-dages angreb identifikation af nul-dages sårbarheder, oprettelse af relevante udnyttelser, identifikation af sårbare systemer og planlægning af angrebet. De næste skridt er infiltration og lancering.
denne artikel undersøger tre nylige nul-dages angreb, der målrettede mod Microsoft, Internetudforsker og Sophos. Endelig vil du lære om fire nul-dages beskyttelses—og forebyggelsesløsninger-NGAV, EDR, IPsec og netværksadgangskontrol.
hvad er en nul-dages sårbarhed?
nul-dages sårbarheder er kritiske trusler, der endnu ikke er offentliggjort, eller som kun opdages som følge af et angreb. Per definition ved leverandører og brugere endnu ikke om sårbarheden. Udtrykket nul-dag stammer fra det tidspunkt, hvor truslen opdages (dag nul). Fra denne dag opstår der et løb mellem sikkerhedshold og angribere for henholdsvis at lappe eller udnytte truslen først.
anatomi af et nul-dages angreb
et nul-dages angreb opstår, når kriminelle udnytter en nul-dages sårbarhed. Tidslinjen for et nul-dages angreb inkluderer ofte følgende trin.
- identificering af sårbarheder: kriminelle tester open source-kode og proprietære applikationer for sårbarheder, der endnu ikke er rapporteret. Angribere kan også henvende sig til sorte markeder for at købe oplysninger om sårbarheder, der endnu ikke er offentlige.
- oprettelse af udnyttelser: angribere opretter et sæt, script eller proces, der gør det muligt for dem at udnytte den opdagede sårbarhed.
- identificering af sårbare systemer: når en udnyttelse er tilgængelig, begynder angribere at lede efter berørte systemer. Dette kan indebære brug af automatiserede scannere, bots eller manuel sondering.
- planlægning af angrebet: den type angreb, som en kriminel ønsker at udføre, bestemmer dette trin. Hvis et angreb er målrettet, udfører angribere typisk rekognoscering for at reducere deres chance for at blive fanget og øge chancen for succes. Ved generelle angreb er kriminelle mere tilbøjelige til at bruge phishing-kampagner eller bots til at forsøge at ramme så mange mål så hurtigt som muligt.
- Infiltration og lancering: hvis en sårbarhed først kræver infiltrering af et system, arbejder angribere på at gøre det, før de implementerer udnyttelsen. Men hvis en sårbarhed kan udnyttes til at få adgang, udnyttes udnyttelsen direkte.
nylige eksempler på angreb
effektiv forebyggelse af nul-dages angreb er en betydelig udfordring for ethvert sikkerhedsteam. Disse angreb kommer uden varsel og kan omgå mange sikkerhedssystemer. Især dem, der er afhængige af signaturbaserede metoder. For at hjælpe med at forbedre din sikkerhed og mindske din risiko kan du starte med at lære om de typer angreb, der for nylig er sket.
Microsoft
i marts 2020 advarede Microsoft brugere om nul-dages angreb, der udnyttede to separate sårbarheder. Disse sårbarheder påvirket alle understøttede vinduer versioner og ingen patch var forventet indtil uger senere. Der er i øjeblikket ikke en CVE-identifikator for denne sårbarhed.
sårbarhederne i Adobe Type Manager (ATM) i attacks targeted remote code eksekvering (RCE). Dette bibliotek er indbygget i vinduer til at administrere PostScript Type 1-skrifttyper. Manglerne i ATM gjorde det muligt for angribere at bruge ondsindede dokumenter til eksternt at køre scripts. Dokumenterne ankom via spam eller blev hentet af intetanende brugere. Når åbnes, eller forhåndsvist med vinduer Stifinder, scripts ville køre, inficere brugerenheder.
Internetudforsker
Internetudforsker (IE), Microsofts ældre bro.ser, er en anden nylig kilde til nul-dages angreb. Denne sårbarhed (CVE-2020-0674) opstår på grund af en fejl i den måde, IE scripting engine styrer objekter i hukommelsen. Det påvirkede IE v9-11.
angribere er i stand til at udnytte denne sårbarhed ved at narre brugere til at besøge en hjemmeside udformet til at udnytte fejlen. Dette kan opnås gennem phishing-e-mails eller gennem omdirigering af links og serveranmodninger.
Sophos
i April 2020 blev der rapporteret om nul-dages angreb mod Sophos’ brandmur. Disse angreb forsøgte at udnytte en CVE-2020-12271, der var rettet mod brandmurens indbyggede databaseserver.
hvis denne sårbarhed udnyttes, vil denne sårbarhed gøre det muligt for angribere at injicere kode i databasen. Denne kode kan bruges til at ændre Indstillinger for brandsikring, give adgang til systemer eller muliggøre installation af skadelige programmer.
beskyttelse og forebyggelse
for at forsvare dig korrekt mod nul-dages angreb skal du lægge avanceret beskyttelse oven på dine eksisterende værktøjer og strategier. Nedenfor er et par løsninger og fremgangsmåder designet til at hjælpe dig med at opdage og forhindre ukendte trusler.
næste generations antivirus
næste generations antivirus (NGAV) udvider traditionel antivirus. Det gør det ved at inkludere funktioner til maskinindlæring, adfærdsdetektion og udnyttelse af afbødning. Disse funktioner gør det muligt for NGAV at opdage ondsindet program, selv når der ikke er nogen kendt signatur eller fil hash (som traditionel AV er afhængig af).
derudover er disse løsninger ofte skybaserede, så du kan implementere værktøj isoleret og i skala. Dette hjælper med at sikre, at alle dine enheder er beskyttet, og at beskyttelsen forbliver aktiv, selvom enheder påvirkes.
Endpoint detection and response
endpoint detection and response (EDR) løsninger giver synlighed, overvågning og automatiseret beskyttelse til dine endepunkter. Disse løsninger overvåger al slutpunkttrafik og kan bruge kunstig intelligens til at klassificere mistænkelig slutpunktsadfærd, som for eksempel til hyppige anmodninger eller forbindelser fra udenlandske IP ‘ er. Disse funktioner giver dig mulighed for at blokere trusler uanset angrebsmetoden.
derudover kan EDR-funktioner bruges til at spore og overvåge brugere eller filer. Så længe det sporede aspekt opfører sig inden for normale retningslinjer, træffes der ingen handling. Men så snart adfærd afviger, kan sikkerhedshold advares.
disse kapaciteter kræver ingen viden om specifikke trusler. I stedet udnytter kapaciteter trusselsefterretninger til at foretage generelle sammenligninger. Dette gør EDR effektiv mod nul-dages angreb.
IP-sikkerhed
IP-sikkerhed (IPsec) er et sæt standardprotokoller, der bruges af Internet engineering task forces (ietfs). Det gør det muligt for teams at anvende datautentificeringsforanstaltninger og verificere integritet og fortrolighed mellem forbindelsespunkter. Det muliggør også kryptering og sikker nøgleadministration og udveksling.
du kan bruge IPsec til at godkende og kryptere al din netværkstrafik. Dette giver dig mulighed for at sikre forbindelser og hurtigt identificere og reagere på enhver ikke-netværk eller mistænkelig trafik. Disse evner gør det muligt for dig at øge vanskeligheden ved at udnytte nul-dages sårbarheder og mindske chancen for, at angreb er vellykkede.
Implementer netværksadgangskontroller
Netværksadgangskontroller giver dig mulighed for at segmentere dine netværk på en meget detaljeret måde. Dette giver dig mulighed for at definere nøjagtigt, hvilke brugere og enheder der kan få adgang til dine aktiver og på hvilke måder. Dette omfatter begrænsning af adgangen til kun de enheder og brugere med de relevante sikkerhedsrettelser eller værktøjer.
netværksadgangskontroller kan hjælpe dig med at sikre, at dine systemer er beskyttet uden at forstyrre produktiviteten eller tvinge fuldstændig begrænsning af ekstern adgang. For eksempel den type adgang, der er nødvendig, når du hoster programmer som en tjeneste (SaaS).
disse kontroller er gavnlige for at beskytte mod nul-dages trusler, fordi de gør det muligt for dig at forhindre lateral bevægelse i dine netværk. Dette isolerer effektivt enhver skade, som en nul-dages trussel kan forårsage.
Staying safe
nylige nul-dages angreb viser, at flere og flere trusselaktører finder et let mærke hos slutpunktsbrugere. Nul-dages angrebet på Microsoft udnyttede ATM-sårbarheder for at narre brugerne til at åbne ondsindede programmer. Når trussel aktører udnyttet en Internet udforske nul-dages sårbarhed, de lokket brugere til at besøge ondsindede sites. Nul-dages angreb på Sophos kunne potentielt give brugeradgang til trusselaktører.
selvom nul-dages angreb er vanskelige at forudsige, er det dog muligt at forhindre og blokere disse angreb. EDR security gør det muligt for organisationer at udvide synligheden til slutpunkter, og næste generations antivirus giver beskyttelse mod skadelige programmer uden at skulle stole på kendte signaturer. IPsec-protokoller gør det muligt for organisationen at godkende og kryptere netværkstrafik, og netværksadgangskontroller giver værktøjerne til at nægte adgang til ondsindede aktører. Lad ikke trusselaktører have overhånden. Ved at bruge og lægge flere af disse værktøjer og tilgange kan du bedre beskytte dine medarbejdere, dine data og din organisation.
Leave a Reply