Nulla napos útmutató 2020 – ra: a legújabb támadások és a fejlett megelőző technikák

Ilai Bavati
2 évvel ezelőtt

a nulla napos biztonsági rések lehetővé teszik a fenyegetések szereplőinek, hogy kihasználják a biztonsági vakfoltok előnyeit. Általában a nulladik napi támadás magában foglalja a nulladik napi sebezhetőségek azonosítását, releváns kihasználások létrehozását, a sebezhető rendszerek azonosítását és a támadás megtervezését. A következő lépés a beszivárgás és a kilövés.

ez a cikk három nulladik napi támadást vizsgál, amelyek a Microsoft, az Internet Explorer és a Sophos ellen irányultak. Végül négy nulladik napi védelmi és megelőzési megoldást ismerhet meg—NGAV, EDR, IPsec és hálózati hozzáférés-vezérlők.

mi a nulladik napi biztonsági rés?

a nulladik napi biztonsági rések olyan kritikus fenyegetések, amelyeket még nem hoztak nyilvánosságra, vagy amelyeket csak támadás eredményeként fedeztek fel. Definíció szerint a gyártók és a felhasználók még nem tudnak a biztonsági résről. A nulla nap kifejezés a fenyegetés felfedezésének időpontjától származik (nulla nap). Ettől a naptól kezdve verseny zajlik a biztonsági csapatok és a támadók között, hogy először javítsák vagy kihasználják a fenyegetést.

a nulladik napi támadás anatómiája

a nulladik napi támadás akkor következik be, amikor a bűnözők kihasználják a nulladik napi sebezhetőséget. A nulla napos támadás ütemterve gyakran a következő lépéseket tartalmazza.

1. sebezhetőségek azonosítása: a bűnözők nyílt forráskódot és saját alkalmazásokat tesztelnek olyan sebezhetőségekre, amelyekről még nem számoltak be. A támadók a fekete piacokhoz is fordulhatnak, hogy információkat vásároljanak a még nem nyilvános sebezhetőségekről.
2. kihasználások létrehozása: A támadók olyan készletet, szkriptet vagy folyamatot hoznak létre, amely lehetővé teszi számukra a felfedezett biztonsági rés kihasználását.
3. sérülékeny rendszerek azonosítása: amint rendelkezésre áll egy exploit, a támadók megkezdik az érintett rendszerek keresését. Ez magában foglalhatja automatizált Szkennerek, botok vagy kézi szondázás használatát.
4. a támadás megtervezése: a bűnöző által végrehajtani kívánt támadás típusa határozza meg ezt a lépést. Ha egy támadás célzott, a támadók általában felderítést végeznek, hogy csökkentsék az esélyüket, hogy elkapják és növeljék a siker esélyét. Általános támadások esetén a bűnözők nagyobb valószínűséggel használnak adathalász kampányokat vagy botokat, hogy minél több célt próbáljanak elérni a lehető leggyorsabban.
5. Infiltration and launch: ha egy biztonsági rés megköveteli, hogy először beszivárogjon egy rendszerbe, a támadók ezt megteszik az exploit telepítése előtt. Ha azonban egy biztonsági rést ki lehet használni a belépéshez, akkor a kihasználást közvetlenül alkalmazzák.

legutóbbi példák a támadásokra

a nulladik napi támadások hatékony megelőzése jelentős kihívást jelent minden biztonsági csapat számára. Ezek a támadások figyelmeztetés nélkül jönnek, és számos biztonsági rendszert megkerülhetnek. Különösen azok, akik aláírás-alapú módszerekre támaszkodnak. A biztonság javítása és a kockázat csökkentése érdekében először megismerheti a közelmúltban bekövetkezett támadások típusait.

Microsoft

2020 márciusában a Microsoft figyelmeztette a felhasználókat a nulladik napi támadásokra, amelyek két különálló sebezhetőséget használnak ki. Ezek a biztonsági rések az összes támogatott Windows verziót érintették, és csak hetekkel később várható javítás. Jelenleg nincs CVE azonosító ehhez a biztonsági réshez.

a támadások az Adobe Type Manager (ATM) könyvtár távoli kódfuttatási (RCE) biztonsági réseit célozták meg. Ez a könyvtár a Windows rendszerbe van beépítve a PostScript Type 1 betűtípusok kezelésére. Az ATM hibái lehetővé tették a támadók számára, hogy rosszindulatú dokumentumokat használjanak szkriptek távoli futtatásához. A dokumentumok spamen keresztül érkeztek, vagy gyanútlan felhasználók töltötték le őket. A Windows File Explorer megnyitásakor vagy előnézetében a szkriptek futnának, megfertőzve a felhasználói eszközöket.

Internet Explorer

az Internet Explorer (IE), a Microsoft régi böngészője a nulladik napi támadások újabb forrása. Ez a biztonsági rés (CVE-2020-0674) annak a hibának köszönhető, ahogyan az IE szkriptmotor kezeli a memóriában lévő objektumokat. Ez befolyásolta az IE v9-11-et.

a támadók képesek kihasználni ezt a biztonsági rést azáltal, hogy becsapják a felhasználókat egy olyan weboldal meglátogatására, amelyet a hiba kihasználására készítettek. Ezt adathalász e-mailekkel vagy linkek és szerver kérések átirányításával lehet elérni.

Sophos

2020 áprilisában nulla napos támadásokról számoltak be a Sophos XG tűzfala ellen. Ezek a támadások megkíséreltek kihasználni egy SQL injection biztonsági rést (CVE-2020-12271), amely a tűzfal beépített PostgreSQL adatbázis-kiszolgálóját célozta meg.

sikeres kihasználás esetén ez a biztonsági rés lehetővé tenné a támadók számára, hogy kódot injektáljanak az adatbázisba. Ez a kód használható a tűzfal beállításainak módosítására, a rendszerekhez való hozzáférés biztosítására vagy a rosszindulatú programok telepítésének engedélyezésére.

védelem és megelőzés

a nulladik napi támadások elleni megfelelő védekezéshez fejlett védelmet kell rétegeznie a meglévő eszközök és stratégiák tetejére. Az alábbiakban bemutatunk néhány megoldást és gyakorlatot, amelyek segítenek felismerni és megelőzni az ismeretlen fenyegetéseket.

következő generációs víruskereső

a következő generációs víruskereső (NGAV) kibővíti a hagyományos víruskeresőket. Ezt a gépi tanulás, a viselkedésérzékelés és a kizsákmányolás mérséklésének funkcióinak bevonásával teszi. Ezek a funkciók lehetővé teszik az NGAV számára a rosszindulatú programok észlelését akkor is, ha nincs ismert aláírás vagy fájl hash (amelyre a hagyományos AV támaszkodik).

ezenkívül ezek a megoldások gyakran felhőalapúak, lehetővé téve a szerszámok elszigetelten és nagy méretben történő telepítését. Ez segít biztosítani, hogy az összes eszköz védett legyen, és a védelem akkor is aktív maradjon, ha az eszközöket érinti.

Endpoint detection and response

Endpoint detection and response (EDR) megoldások biztosítják a végpontok láthatóságát, felügyeletét és automatizált védelmét. Ezek a megoldások figyelemmel kísérik az összes végpontforgalmat, és mesterséges intelligencia segítségével osztályozhatják a gyanús végpont-viselkedéseket, például a gyakori kéréseket vagy a külföldi IP-kről érkező kapcsolatokat. Ezek a képességek lehetővé teszik a fenyegetések blokkolását a támadás módjától függetlenül.

ezenkívül az EDR funkciók felhasználhatók a felhasználók vagy fájlok nyomon követésére és megfigyelésére. Mindaddig, amíg a nyomon követett szempont a normál irányelveken belül viselkedik, nem történik intézkedés. Amint azonban a viselkedés eltér, a biztonsági csapatokat figyelmeztetni lehet.

ezek a képességek nem igényelnek konkrét fenyegetések ismeretét. Ehelyett a képességek kihasználják a fenyegetési intelligenciát, hogy általánosított összehasonlításokat végezzenek. Ez hatékonyabbá teszi az EDR-t a nulla napos támadások ellen.

IP biztonság

az IP biztonság (IPsec) az Internet engineering task forces (Ietfs) által használt szabványos protokollok összessége. Lehetővé teszi a csapatok számára az adathitelesítési intézkedések alkalmazását, valamint a csatlakozási pontok közötti integritás és titoktartás ellenőrzését. Lehetővé teszi a titkosítást és a biztonságos kulcskezelést és-cserét is.

az IPsec segítségével hitelesítheti és titkosíthatja az összes hálózati forgalmat. Ez lehetővé teszi a kapcsolatok biztonságát, valamint a nem hálózati vagy gyanús forgalom gyors azonosítását és reagálását. Ezek a képességek lehetővé teszik, hogy növelje a nulladik napi sebezhetőségek kihasználásának nehézségeit, és csökkentse a támadások sikerének esélyét.

a hálózati hozzáférés-vezérlők végrehajtása

a hálózati hozzáférés-vezérlők lehetővé teszik a hálózatok nagyon részletes szegmentálását. Ez lehetővé teszi, hogy pontosan meghatározza, mely felhasználók és eszközök férhetnek hozzá az eszközeihez és milyen eszközökkel. Ez magában foglalja a hozzáférés korlátozását csak azokra az eszközökre és felhasználókra, akik rendelkeznek a megfelelő biztonsági javításokkal vagy eszközökkel.

a hálózati hozzáférés-vezérlők segítenek biztosítani a rendszerek védelmét anélkül, hogy zavarnák a termelékenységet vagy a külső hozzáférés teljes korlátozását kényszerítenék. Például a szoftver szolgáltatásként (SaaS) történő üzemeltetéséhez szükséges hozzáférés típusa.

ezek a vezérlők hasznosak a nulladik napi fenyegetések elleni védelemben, mivel lehetővé teszik a hálózatok oldalirányú mozgásának megakadályozását. Ez hatékonyan elkülönít minden olyan kárt, amelyet egy nulla napos fenyegetés okozhat.

biztonságban maradni

a legutóbbi nulladik napi támadások azt mutatják, hogy egyre több fenyegetés szereplő talál könnyű jelet a végpont felhasználóiban. A Microsoft elleni nulla napos támadás kihasználta az ATM sebezhetőségeit, hogy becsapja a felhasználókat a rosszindulatú programok megnyitására. Amikor az internetet kihasználó fenyegetés szereplői nulla napos sebezhetőséget fedeznek fel, becsapták a felhasználókat rosszindulatú webhelyek látogatására. A Sophos elleni nulla napos támadás potenciálisan hozzáférést biztosíthat a felhasználók számára a fenyegetés szereplőihez.

bár a nulladik napi támadásokat nehéz megjósolni, meg lehet előzni és blokkolni ezeket a támadásokat. Az EDR security lehetővé teszi a szervezetek számára, hogy a láthatóságot a végpontokra is kiterjesszék, a következő generációs víruskereső pedig védelmet nyújt a rosszindulatú programok ellen anélkül, hogy ismert aláírásokra kellene támaszkodnia. Az IPsec protokollok lehetővé teszik a szervezet számára a hálózati forgalom hitelesítését és titkosítását, a hálózati hozzáférés-vezérlők pedig olyan eszközöket biztosítanak, amelyek megakadályozzák a rosszindulatú szereplők hozzáférését. Ne hagyja, hogy a fenyegetés szereplői felülkerekedjenek. Ezeknek az eszközöknek és megközelítéseknek a felhasználásával és rétegezésével jobban megvédheti alkalmazottait, adatait és szervezetét.