Nollapäiväopas vuodelle 2020: Viimeaikaiset iskut ja kehittyneet ehkäisytekniikat
Nollapäivähaavoittuvuudet mahdollistavat uhkatekijöiden hyödyntämisen tietoturvan blindspoteissa. Tyypillisesti nollapäivähyökkäykseen kuuluu nollapäivähaavoittuvuuksien tunnistaminen, asiaankuuluvien hyväksikäyttöjen luominen, haavoittuvien järjestelmien tunnistaminen ja hyökkäyksen suunnittelu. Seuraavat askeleet ovat soluttautuminen ja laukaisu.
tässä artikkelissa tarkastellaan kolmea tuoretta nollapäivähyökkäystä, jotka kohdistuivat Microsoftiin, Internet Exploreriin ja Sophosiin. Lopuksi opit neljä nollapäivän suojaus—ja ennaltaehkäisyratkaisua-NGAV, EDR, IPsec ja verkon käyttöoikeuksien valvonta.
mikä on nollapäivähaavoittuvuus?
Nollapäivähaavoittuvuudet ovat kriittisiä uhkia, joita ei ole vielä julkistettu tai jotka paljastuvat vasta hyökkäyksen seurauksena. Määritelmän mukaan myyjät ja käyttäjät eivät vielä tiedä haavoittuvuudesta. Termi nollapäivä juontuu ajankohdasta, jolloin uhka havaitaan (päivä nolla). Tästä päivästä lähtien kilpajuoksu tapahtuu turvallisuusryhmien ja hyökkääjien välillä, jolloin uhka paikataan tai hyödynnetään ensin.
Nollapäivähyökkäyksen anatomia
nollapäivähyökkäys tapahtuu, kun rikolliset hyödyntävät nollapäivähaavoittuvuutta. Nollapäivähyökkäyksen aikajana sisältää usein seuraavat vaiheet.
- haavoittuvuuksien tunnistaminen: rikolliset testaavat avointa lähdekoodia ja omia sovelluksia haavoittuvuuksille, joita ei ole vielä raportoitu. Hyökkääjät saattavat myös kääntyä pimeiden markkinoiden puoleen ostaakseen tietoja haavoittuvuuksista, jotka eivät ole vielä julkisia.
- hyväksikäyttöjen luominen: hyökkääjät luovat paketin, komentosarjan tai prosessin, jonka avulla he voivat hyödyntää löydettyä haavoittuvuutta.
- haavoittuvien järjestelmien tunnistaminen: kun hyväksikäyttö on käytettävissä, hyökkääjät alkavat etsiä haavoittuvia järjestelmiä. Tämä voi edellyttää automaattisia skannereita, botteja tai manuaalista luotausta.
- iskun suunnittelu: se, millaisen hyökkäyksen rikollinen haluaa suorittaa, määrittää tämän vaiheen. Jos hyökkäys on kohdistettu, hyökkääjät tekevät tyypillisesti tiedustelua vähentääkseen mahdollisuuksiaan jäädä kiinni ja lisätäkseen onnistumisen mahdollisuutta. Yleishyökkäyksissä rikolliset käyttävät todennäköisemmin tietojenkalastelukampanjoita tai botteja yrittäessään iskeä mahdollisimman moneen kohteeseen mahdollisimman nopeasti.
- tunkeutuminen ja laukaisu: jos haavoittuvuus vaatii ensin tunkeutumista järjestelmään, hyökkääjät pyrkivät tekemään sen ennen hyödyntämisen käyttöönottoa. Kuitenkin, jos haavoittuvuutta voidaan hyödyntää päästä sisään, hyödyntää sovelletaan suoraan.
Viimeaikaiset esimerkit iskuista
nollapäivähyökkäysten tehokas estäminen on merkittävä haaste mille tahansa turvallisuusryhmälle. Nämä hyökkäykset tulevat varoittamatta ja voivat ohittaa monet turvajärjestelmät. Erityisesti ne, jotka luottavat allekirjoitukseen perustuviin menetelmiin. Voit parantaa tietoturvaasi ja vähentää riskiäsi tutustumalla viime aikoina tapahtuneiden hyökkäysten tyyppeihin.
Microsoft
maaliskuussa 2020 Microsoft varoitti käyttäjiä kahta erillistä haavoittuvuutta hyödyntävistä nollapäivähyökkäyksistä. Nämä haavoittuvuudet vaikuttivat kaikkiin tuettuihin Windows-versioihin, eikä paikkausta odotettu kuin vasta viikkoja myöhemmin. Tällä hetkellä ei ole CVE-tunnistetta tälle haavoittuvuudelle.
hyökkäykset kohdistuivat remote code execution (RCE) – haavoittuvuuksiin Adobe Type Manager (ATM) – kirjastossa. Tämä kirjasto on rakennettu Windowsiin hallitsemaan PostScript Type 1-kirjasimia. ATM: n puutteet antoivat hyökkääjille mahdollisuuden käyttää haitallisia asiakirjoja komentosarjojen etäajoon. Asiakirjat saapuivat roskapostin kautta tai hyväuskoiset käyttäjät latasivat ne. Kun avattu, tai esikatsella Windows File Explorer, skriptit ajettaisiin, saastuttamalla käyttäjän laitteita.
Internet Explorer
Internet Explorer (IE), Microsoftin vanha selain, on toinen tuore nollapäivähyökkäysten lähde. Tämä haavoittuvuus (CVE-2020-0674) johtuu viasta tavassa, jolla IE-komentosarjamoottori hallinnoi esineitä muistissa. Se vaikutti IE v9-11.
hyökkääjät pystyvät hyödyntämään tätä haavoittuvuutta huijaamalla käyttäjiä vierailemaan sivustolla, joka on muotoiltu vian hyödyntämiseksi. Tämä voidaan toteuttaa tietojenkalastelusähköposteilla tai linkkien ja palvelinpyyntöjen uudelleenohjauksella.
Sophos
huhtikuussa 2020 ilmoitettiin Nollapäivähyökkäyksistä Sophosin XG-palomuuria vastaan. Hyökkäyksissä yritettiin hyödyntää SQL-injektiohaavoittuvuutta (CVE-2020-12271), joka kohdistui palomuurin sisäänrakennettuun PostgreSQL-tietokantapalvelimeen.
jos haavoittuvuutta hyödynnetään onnistuneesti, hyökkääjät voivat syöttää koodia tietokantaan. Tätä koodia voidaan käyttää palomuurin asetusten muokkaamiseen, järjestelmien käyttöoikeuksien myöntämiseen tai haittaohjelmien asentamisen mahdollistamiseen.
suojaus ja ennaltaehkäisy
puolustautuaksesi kunnolla nollapäivähyökkäyksiä vastaan sinun on laitettava kehittyneet suojaukset olemassa olevien työkalujen ja strategioiden päälle. Alla on muutamia ratkaisuja ja käytäntöjä, joiden avulla voit havaita ja estää tuntemattomia uhkia.
Next-generation antivirus
Next-generation antivirus (Ngav) laajentaa perinteiseen antivirukseen. Se tekee tämän sisällyttämällä ominaisuuksia koneoppimiseen, käyttäytymisen havaitseminen, ja hyödyntää lieventämistä. Näiden ominaisuuksien avulla NGAV voi havaita haittaohjelmat silloinkin, kun Tiedossa ei ole allekirjoitusta tai tiedostohashia (johon perinteinen AV luottaa).
lisäksi nämä ratkaisut ovat usein pilvipohjaisia, jolloin työkalut voidaan ottaa käyttöön erikseen ja laajuudessa. Tämä auttaa varmistamaan, että kaikki laitteesi ovat suojattuja ja että suojaukset pysyvät aktiivisina, vaikka laitteet vaikuttaisivat.
Endpoint detection and response
Endpoint detection and response (EDR) – ratkaisut tarjoavat päätepisteidesi näkyvyyden, seurannan ja automaattisen suojauksen. Nämä ratkaisut valvovat kaikkea päätepisteliikennettä ja voivat tekoälyn avulla luokitella epäilyttäviä päätepistekäyttäytymisiä, kuten esimerkiksi ulkomaisten IP-osoitteiden toistuvia pyyntöjä tai yhteyksiä. Näiden ominaisuuksien avulla voit estää uhkia riippumatta hyökkäystavasta.
lisäksi EDR-ominaisuuksia voidaan käyttää käyttäjien tai tiedostojen seurantaan ja seurantaan. Niin kauan kuin seurattu aspekti käyttäytyy normaalien ohjeiden mukaisesti, mitään toimenpiteitä ei tehdä. Kuitenkin heti kun käyttäytyminen poikkeaa, turvatiimit voidaan hälyttää.
nämä valmiudet eivät vaadi tietoa tietyistä uhkista. Sen sijaan valmiudet hyödyntävät uhkatiedustelua yleistävien vertailujen tekemiseen. Tämä tekee EDR: stä tehokkaan nollapäivähyökkäyksiä vastaan.
IP security
IP Security (IPsec) on joukko Internet engineering task Forcesin (IETFs) käyttämiä standardiprotokollia. Sen avulla tiimit voivat soveltaa tietojen todennustoimenpiteitä ja tarkistaa yhteydenottopisteiden eheyden ja luottamuksellisuuden. Se mahdollistaa myös salauksen ja turvallisen avainten hallinnan ja vaihdon.
voit käyttää IPsec: tä kaiken verkkoliikenteen todentamiseen ja salaamiseen. Näin voit suojata yhteydet ja tunnistaa nopeasti verkon ulkopuolisen tai epäilyttävän liikenteen ja vastata niihin. Näiden kykyjen avulla voit lisätä nollapäivän haavoittuvuuksien hyödyntämisen vaikeutta ja vähentää hyökkäysten onnistumisen mahdollisuutta.
toteuta verkonkäyttötarkastukset
Verkonkäyttötarkastukset mahdollistavat verkkojesi segmentoinnin erittäin rakeisella tavalla. Näin voit määritellä tarkasti, mitkä käyttäjät ja laitteet voivat käyttää omaisuuttasi ja millä keinoin. Tämä sisältää pääsyn rajoittamisen vain niihin laitteisiin ja käyttäjiin, joilla on asianmukaiset tietoturvakorjaukset tai työkalut.
verkonkäytön valvonta voi auttaa varmistamaan, että järjestelmäsi on suojattu häiritsemättä tuottavuutta tai rajoittamatta kokonaan ulkoista pääsyä. Esimerkiksi käyttöoikeustyyppi, jota tarvitaan, kun isännöit ohjelmistoa palveluna (SaaS).
näistä kontrolleista on hyötyä nollapäivän uhkilta suojautumisessa, koska niiden avulla voi estää sivusuuntaisen liikkumisen verkoissa. Tämä eristää tehokkaasti nollapäivän uhan mahdollisesti aiheuttamat vahingot.
staying safe
Viimeaikaiset nollapäivähyökkäykset osoittavat, että yhä useampi uhkaaja löytää helpon jäljen päätepisteiden käyttäjistä. Nollapäivähyökkäys Microsoftiin hyödynsi ATM-haavoittuvuuksia huijatakseen käyttäjiä avaamaan haittaohjelman. Kun uhkausvaikuttajat hyödynsivät Internetiä tutki nollapäivähaavoittuvuutta, he huijasivat käyttäjiä vierailemaan haitallisilla sivustoilla. Nollapäivähyökkäys Sophosiin voisi mahdollisesti antaa käyttäjälle pääsyn uhkanäyttelijöihin.
vaikka nollapäivähyökkäyksiä on vaikea ennustaa, niitä on kuitenkin mahdollista ehkäistä ja estää. EDR-tietoturvan avulla organisaatiot voivat laajentaa näkyvyyttä päätepisteisiin, ja seuraavan sukupolven antivirus tarjoaa suojan haittaohjelmia vastaan ilman, että niiden tarvitsee luottaa tunnettuihin allekirjoituksiin. IPsec-protokollien avulla organisaatio voi todentaa ja salata verkkoliikenteen, ja verkon käyttöoikeuksien valvonta tarjoaa työkalut haitallisten toimijoiden pääsyn estämiseen. Älä anna uhkailijoiden päästä niskan päälle. Hyödyntämällä ja kerrospukeutuminen useita näistä työkaluista ja lähestymistavoista, voit paremmin suojata työntekijöitä, tietosi, ja organisaatiosi.
Leave a Reply