Een zero-day gids voor 2020: recente aanvallen en geavanceerde preventieve technieken
Zero-day kwetsbaarheden stellen dreigingsactoren in staat om gebruik te maken van beveiligingsblindspots. Typisch, een zero-day aanval omvat de identificatie van zero-day kwetsbaarheden, het creëren van relevante exploits, het identificeren van kwetsbare systemen, en het plannen van de aanval. De volgende stappen zijn infiltratie en lancering.
dit artikel onderzoekt drie recente zero-day-aanvallen, die gericht waren op Microsoft, Internet Explorer en Sophos. Tot slot leert u meer over vier Zero-day beschermings—en preventieoplossingen-NGAV, EDR, IPsec en netwerktoegangscontroles.
Wat is een zero-day kwetsbaarheid?
zero-day kwetsbaarheden zijn kritieke bedreigingen die nog niet openbaar zijn gemaakt of die alleen worden ontdekt als gevolg van een aanval. Per definitie, leveranciers en gebruikers weten nog niet over de kwetsbaarheid. De term zero-day komt voort uit het moment dat de dreiging wordt ontdekt (dag nul). Vanaf deze dag vindt er een race plaats tussen beveiligingsteams en aanvallers om respectievelijk de dreiging eerst te patchen of te exploiteren.
anatomie van een zero-day-aanval
een zero-day-aanval treedt op wanneer criminelen een zero-day-kwetsbaarheid exploiteren. De tijdlijn van een zero-day aanval bevat vaak de volgende stappen.
- kwetsbaarheden identificeren: criminelen testen open source code en propriëtaire toepassingen op kwetsbaarheden die nog niet zijn gemeld. Aanvallers kunnen zich ook wenden tot zwarte markten om informatie te kopen over kwetsbaarheden die nog niet openbaar zijn.
- maken van exploits: aanvallers maken een kit, script of proces dat hen in staat stelt om de ontdekte kwetsbaarheid te exploiteren.
- kwetsbare systemen identificeren: zodra een exploit beschikbaar is, beginnen aanvallers te zoeken naar getroffen systemen. Dit kan gepaard gaan met het gebruik van geautomatiseerde scanners, bots, of handmatige sonderen.
- de aanval plannen: het type aanval dat een crimineel wil uitvoeren bepaalt deze stap. Als een aanval is gericht, aanvallers meestal uitvoeren verkenning om hun kans om te worden gepakt te verminderen en de kans op succes te vergroten. Voor algemene aanvallen, criminelen hebben meer kans om phishing campagnes of bots te gebruiken om te proberen zo veel doelen zo snel mogelijk te raken.
- infiltratie en lancering: als een kwetsbaarheid eerst een systeem moet infiltreren, werken aanvallers om dit te doen voordat de exploit wordt geïmplementeerd. Echter, als een kwetsbaarheid kan worden benut om toegang te krijgen, de exploit wordt direct toegepast.
recente voorbeelden van aanvallen
effectief voorkomen van zero-day aanvallen is een belangrijke uitdaging voor elk beveiligingsteam. Deze aanvallen komen zonder waarschuwing en kunnen veel beveiligingssystemen omzeilen. Vooral degenen die vertrouwen op op handtekeningen gebaseerde methoden. Om uw beveiliging te verbeteren en uw risico te verminderen, kunt u beginnen met het leren van de soorten aanvallen die onlangs hebben plaatsgevonden.
Microsoft
in Maart 2020 waarschuwde Microsoft gebruikers voor zero-day-aanvallen door gebruik te maken van twee afzonderlijke kwetsbaarheden. Deze kwetsbaarheden beà nvloed alle ondersteunde Windows-versies en geen patch werd verwacht tot weken later. Er is momenteel geen CVE-identificatie voor deze kwetsbaarheid.
de aanvallen richtten kwetsbaarheden in remote code execution (RCE) in de Adobe Type Manager (ATM) – bibliotheek. Deze bibliotheek is ingebouwd in Windows om PostScript Type 1 lettertypen te beheren. De gebreken in ATM ingeschakeld aanvallers om kwaadaardige documenten te gebruiken om op afstand scripts uit te voeren. De documenten kwamen via spam of werden gedownload door nietsvermoedende gebruikers. Wanneer geopend, of bekeken met Windows File Explorer, de scripts zou draaien, infecteren gebruikersapparaten.
Internet Explorer
Internet Explorer (IE), de oudere browser van Microsoft, is een andere recente bron van zero-day-aanvallen. Deze kwetsbaarheid (CVE-2020-0674) optreedt als gevolg van een fout in de manier waarop de IE scripting engine beheert objecten in het geheugen. Het beïnvloed IE v9-11.
aanvallers zijn in staat om gebruik te maken van deze kwetsbaarheid door tricking gebruikers in een bezoek aan een website gemaakt om de fout te exploiteren. Dit kan worden bereikt door middel van phishing e-mails of door het omleiden van links en server verzoeken.
Sophos
in April 2020 werden zero-day aanvallen gemeld tegen de XG firewall van Sophos. Deze aanvallen geprobeerd om een SQL injectie kwetsbaarheid te exploiteren (CVE-2020-12271) gericht op de firewall ingebouwde PostgreSQL database server.
indien met succes benut, zou deze kwetsbaarheid aanvallers in staat stellen om code in de database te injecteren. Deze code kan worden gebruikt om firewall-instellingen te wijzigen, toegang te verlenen tot systemen of de installatie van malware mogelijk te maken.
bescherming en preventie
om zich goed te verdedigen tegen zero-day aanvallen, moet u geavanceerde beveiligingen bovenop uw bestaande tools en strategieën leggen. Hieronder staan een paar oplossingen en praktijken die zijn ontworpen om u te helpen Onbekende bedreigingen te detecteren en te voorkomen.
Next-generation antivirus
Next-generation antivirus (NGAV) breidt uit op traditionele antivirus. Het doet dit door het opnemen van functies voor machine learning, gedragsdetectie, en exploit mitigation. Deze functies stellen NGAV in staat om malware te detecteren, zelfs als er geen bekende handtekening of bestand hash (die traditionele AV vertrouwt op).
Bovendien zijn deze oplossingen vaak cloudgebaseerd, waardoor u tooling geïsoleerd en op schaal kunt implementeren. Dit helpt ervoor te zorgen dat al uw apparaten worden beschermd en dat beveiligingen actief blijven, zelfs als apparaten worden beïnvloed.Endpoint detection and response
Endpoint detection and response
Endpoint detection and response (EDR) oplossingen bieden zichtbaarheid, monitoring en geautomatiseerde beveiliging voor uw eindpunten. Deze oplossingen bewaken al het endpointverkeer en kunnen kunstmatige intelligentie gebruiken om verdacht endpointgedrag te classificeren, zoals bijvoorbeeld frequente Verzoeken of verbindingen van buitenlandse IP ‘ s. Met deze mogelijkheden kunt u bedreigingen blokkeren, ongeacht de aanvalsmethode.
daarnaast kunnen EDR-functies worden gebruikt om gebruikers of bestanden te volgen en te monitoren. Zolang het gevolgde aspect zich binnen de normale richtlijnen gedraagt, wordt er geen actie ondernomen. Zodra het gedrag echter afwijkt, kunnen beveiligingsteams worden gewaarschuwd.
deze mogelijkheden vereisen geen kennis van specifieke bedreigingen. In plaats daarvan maken de mogelijkheden gebruik van threat intelligence om algemene vergelijkingen te maken. Dit maakt EDR effectief tegen zero-day aanvallen.
IP-beveiliging
IP-beveiliging (IPsec) is een reeks standaardprotocollen die worden gebruikt door Internet engineering task forces (IETFs). Het stelt teams in staat om gegevensverificatiemaatregelen toe te passen en om integriteit en vertrouwelijkheid tussen verbindingspunten te verifiëren. Het maakt ook encryptie en veilig sleutelbeheer en uitwisseling mogelijk.
u kunt IPSec gebruiken om al uw netwerkverkeer te verifiëren en te versleutelen. Dit stelt u in staat om verbindingen te beveiligen en om snel te identificeren en te reageren op niet-Netwerk of verdacht verkeer. Deze vaardigheden stellen u in staat om de moeilijkheid van het benutten van zero-day kwetsbaarheden te verhogen en de kans dat aanvallen succesvol zijn te verminderen.
implementeer netwerktoegangscontroles
met netwerktoegangscontroles kunt u uw netwerken op een zeer gedetailleerde manier segmenteren. Hiermee kunt u precies definiëren welke gebruikers en apparaten toegang hebben tot uw assets en met welke middelen. Dit omvat het beperken van de toegang tot alleen die apparaten en gebruikers met de juiste beveiligingspatches of tooling.
netwerktoegangscontroles kunnen u helpen ervoor te zorgen dat uw systemen beschermd zijn zonder de productiviteit te verstoren of volledige beperking van externe toegang te forceren. Bijvoorbeeld het type Toegang dat nodig is wanneer u SaaS (software as a service) host.
deze controles zijn gunstig voor bescherming tegen zero-day dreigingen omdat ze u in staat stellen om zijdelingse bewegingen in uw netwerken te voorkomen. Dit isoleert effectief elke schade die een zero-day bedreiging kan veroorzaken.
veilig blijven
recente zero-day-aanvallen tonen aan dat steeds meer dreigingsactoren een gemakkelijk merkteken vinden bij endpointgebruikers. De zero-day aanval op Microsoft uitgebuit ATM kwetsbaarheden om gebruikers te verleiden tot het openen van malware. Wanneer bedreiging acteurs uitgebuit een Internet Verkennen zero-day kwetsbaarheid, ze bedrogen gebruikers in het bezoeken van kwaadaardige sites. De zero-day-aanval op Sophos zou gebruikers mogelijk toegang kunnen geven tot dreigingsactoren.
hoewel zero-day aanvallen moeilijk te voorspellen zijn, is het mogelijk deze aanvallen te voorkomen en te blokkeren. EDR security stelt organisaties in staat om de zichtbaarheid uit te breiden naar endpoints, en de volgende generatie antivirus biedt bescherming tegen malware zonder te vertrouwen op bekende handtekeningen. Met IPsec-protocollen kan de organisatie netwerkverkeer verifiëren en versleutelen, en netwerktoegangsbeheer biedt de tools om toegang te weigeren aan kwaadwillende actoren. Laat bedreigende acteurs niet de overhand hebben. Door gebruik te maken van en gelaagdheid van een aantal van deze tools en benaderingen, kunt u uw werknemers, uw gegevens en uw organisatie beter te beschermen.
Leave a Reply