En nulldagsguide for 2020: Nylige angrep og avanserte forebyggende teknikker
Zero-day sårbarheter gjør det mulig for trusselaktører å dra nytte av sikkerhetsblindepunkter. Vanligvis innebærer et nulldagsangrep identifisering av nulldags sårbarheter, skape relevante utnyttelser, identifisere sårbare systemer og planlegge angrepet. De neste trinnene er infiltrasjon og lansering.
denne artikkelen undersøker tre nylige nulldagsangrep, som målrettet Microsoft, Internet Explorer og Sophos. Til slutt vil du lære om fire nulldagsbeskyttelses-og forebyggingsløsninger-NGAV, EDR, IPsec og nettverkstilgangskontroller.
hva er en zero-day sårbarhet?
Zero-day sårbarheter er kritiske trusler som ennå ikke er offentliggjort, eller som bare oppdages som et resultat av et angrep. Per definisjon vet leverandører og brukere ennå ikke om sårbarheten. Begrepet nulldag stammer fra det tidspunktet trusselen oppdages (dag null). Fra denne dagen oppstår et løp mellom sikkerhetsteam og angripere for å lappe eller utnytte trusselen først.
Anatomi av et nulldagsangrep
et nulldagsangrep oppstår når kriminelle utnytter en nulldags sårbarhet. Tidslinjen for et nulldagsangrep inneholder ofte følgende trinn.
- Identifisering av sårbarheter: Kriminelle tester åpen kildekode og proprietære applikasjoner for sårbarheter som ennå ikke er rapportert. Angripere kan også henvende seg til svarte markeder for å kjøpe informasjon om sårbarheter som ennå ikke er offentlige.
- opprettelse av utnyttelser: Angripere lager et sett, skript eller en prosess som gjør at De kan utnytte det oppdagede sikkerhetsproblemet.
- Identifisering av sårbare systemer: når en utnyttelse er tilgjengelig, begynner angriperne å lete etter berørte systemer. Dette kan innebære bruk av automatiserte skannere, bots, eller manuell sondering.
- Planlegging av angrepet: typen angrep som en kriminell ønsker å oppnå, bestemmer dette trinnet. Hvis et angrep er målrettet, utfører angripere vanligvis rekognosering for å redusere sjansen for å bli fanget og øke sjansen for suksess. For generelle angrep er kriminelle mer sannsynlig å bruke phishing-kampanjer eller bots for å prøve å treffe så mange mål så raskt som mulig.
- Infiltrasjon og lansering: hvis et sikkerhetsproblem krever først å infiltrere et system, jobber angriperne for å gjøre det før de utnytter utnyttelsen. Men hvis et sikkerhetsproblem kan utnyttes for å få tilgang, utnyttes utnyttelsen direkte.
Nylige eksempler på angrep
effektivt å forhindre nulldagsangrep Er en betydelig utfordring for ethvert sikkerhetsteam. Disse angrepene kommer uten advarsel og kan omgå mange sikkerhetssystemer. Spesielt de som stoler på signaturbaserte metoder. For å bidra til å forbedre sikkerheten og redusere risikoen, kan du begynne med å lære om hvilke typer angrep som nylig har skjedd.
Microsoft
I Mars 2020 advarte Microsoft brukere om nulldagsangrep som utnytter to separate sårbarheter. Disse sikkerhetsproblemene påvirket Alle støttede Windows-versjoner, og ingen oppdatering var forventet før uker senere. Det finnes for øyeblikket ikke EN CVE-identifikator for dette sikkerhetsproblemet.
angrepene målrettet ekstern kjøring av kode (rce) sikkerhetsproblemer I Adobe Type Manager (Atm) – biblioteket. Dette biblioteket er innebygd I Windows for å administrere PostScript Type 1-skrifter. Feilene I ATM aktiverte angripere til å bruke ondsinnede dokumenter til å kjøre skript eksternt. Dokumentene kom gjennom spam eller ble lastet ned av intetanende brukere. Når de åpnes eller forhåndsvises Med Windows File Explorer, vil skriptene kjøre, infisere brukerenheter.
Internet Explorer
Internet Explorer (IE), Microsofts eldre nettleser, er en annen nylig kilde til nulldagsangrep. Dette sikkerhetsproblemet (CVE-2020-0674) oppstår på grunn av en feil i MÅTEN IE scripting engine håndterer objekter i minnet. DET påvirket IE v9-11.
Angripere kan utnytte dette sikkerhetsproblemet ved å lure brukere til å besøke et nettsted som er laget for å utnytte feilen. Dette kan oppnås gjennom phishing e-post eller gjennom omdirigering av koblinger og serverforespørsler.
Sophos
i April 2020 ble nulldagsangrep rapportert mot Sophos ‘ xg-brannmur. Disse angrepene forsøkte å utnytte ET sikkerhetsproblem FOR SQL-injeksjon (CVE-2020-12271) rettet mot brannmurens innebygde PostgreSQL-databaseserver.
hvis det blir utnyttet, vil dette sikkerhetsproblemet gjøre det mulig for angripere å injisere kode i databasen. Denne koden kan brukes til å endre brannmurinnstillinger, gi tilgang til systemer eller aktivere installasjon av skadelig programvare.
Beskyttelse og forebygging
for å kunne forsvare deg mot nulldagsangrep, må du legge avanserte beskyttelser på toppen av dine eksisterende verktøy og strategier. Nedenfor finner du noen løsninger og fremgangsmåter som er utformet for å hjelpe deg med å oppdage og forhindre ukjente trusler.
neste generasjons antivirus
NESTE generasjons antivirus (NGAV) utvider på tradisjonelle antivirus. Det gjør dette ved å inkludere funksjoner for maskinlæring, atferdsdeteksjon og utnyttelsesreduksjon. DISSE funksjonene gjør DET MULIG FOR NGAV å oppdage skadelig programvare selv når det ikke er kjent signatur eller filhash (som tradisjonell av er avhengig av).
I Tillegg er disse løsningene ofte skybaserte, slik at du kan distribuere verktøy isolert og i stor skala. Dette bidrar til å sikre at alle enhetene dine er beskyttet og at beskyttelsen forblir aktiv selv om enhetene påvirkes.
endepunktdeteksjon og-respons
LØSNINGER For ENDEPUNKTDETEKSJON og-respons (Edr) gir synlighet, overvåking og automatisert beskyttelse av endepunktene dine. Disse løsningene overvåker all endepunkttrafikk og kan bruke kunstig intelligens til å klassifisere mistenkelig endepunktadferd, for eksempel til hyppige forespørsler eller tilkoblinger fra utenlandske Ip-Adresser. Disse funksjonene gjør det mulig å blokkere trusler uavhengig av angrepsmetoden.
I Tillegg KAN EDR-funksjoner brukes til å spore og overvåke brukere eller filer. Så lenge det sporede aspektet oppfører seg innenfor normale retningslinjer, blir det ikke gjort noe. Men så snart atferd avviker, kan sikkerhetsteam bli varslet.
disse funksjonene krever ingen kjennskap til spesifikke trusler. I stedet utnytter evner trusselintelligens for å gjøre generaliserte sammenligninger. DETTE gjør EDR effektiv mot nulldagsangrep.
IP-sikkerhet
Ip-Sikkerhet (IPsec) er et sett med standardprotokoller som brukes Av Internet engineering task forces (Ietfs). Det gjør det mulig for team å bruke dataautentiseringstiltak, og å verifisere integritet og konfidensialitet mellom tilkoblingspunkter. Det muliggjør også kryptering og sikker nøkkelhåndtering og utveksling.
Du kan bruke IPsec til å godkjenne og kryptere all nettverkstrafikken. Dette gjør at du kan sikre tilkoblinger og raskt identifisere og svare på ikke-nettverk eller mistenkelig trafikk. Disse evnene gjør at du kan øke vanskeligheten med å utnytte nulldagssårbarheter og redusere sjansen for at angrepene lykkes.
Implementer nettverkstilgangskontroller
Nettverkstilgangskontroller gjør at du kan segmentere nettverkene dine på en svært detaljert måte. Dette gjør at du kan definere nøyaktig hvilke brukere og enheter som kan få tilgang til dine eiendeler og gjennom hvilke midler. Dette inkluderer å begrense tilgangen til bare de enhetene og brukerne med de riktige sikkerhetsoppdateringene eller verktøyene.
Nettverkstilgangskontroller kan hjelpe deg med å sikre at systemene dine er beskyttet uten å forstyrre produktiviteten eller tvinge fullstendig begrensning av ekstern tilgang. For eksempel hvilken type tilgang som trengs når du er vert for software as a service (SaaS).
disse kontrollene er gunstige for å beskytte mot nulldagstrusler fordi de gjør det mulig for deg å forhindre sidebevegelse i nettverkene dine. Dette isolerer effektivt eventuelle skader en nulldagstrussel kan forårsake.
Å være trygg
Nylige nulldagsangrep viser At flere og flere trusselaktører finner et enkelt merke i endepunktbrukere. Zero-day-angrepet på Microsoft utnyttet ATM-sårbarheter for å lure brukere til å åpne skadelig programvare. Når trusselaktører utnyttet Et internett, Utforske zero-day sårbarhet, lurte de brukere til å besøke ondsinnede nettsteder. Zero-day-angrepet På Sophos kan potensielt gi bruker tilgang til trusselaktører.
mens nulldagsangrep er vanskelig å forutsi, er det imidlertid mulig å forhindre og blokkere disse angrepene. EDR-sikkerhet gjør det mulig for organisasjoner å utvide synligheten til endepunkter, og neste generasjons antivirus gir beskyttelse mot skadelig programvare uten å måtte stole på kjente signaturer. IPsec-protokoller gjør det mulig for organisasjoner å godkjenne og kryptere nettverkstrafikk, og nettverkstilgangskontroller gir verktøyene for å nekte tilgang til ondsinnede aktører. Ikke la trusselaktører ha overtaket. Ved å bruke og lagre flere av disse verktøyene og tilnærmingene, kan du bedre beskytte dine ansatte, dine data og din organisasjon.
Leave a Reply