Przewodnik zero-day na rok 2020: ostatnie ataki i zaawansowane techniki zapobiegawcze

Ilai Bavati
2 lata temu

luki w zabezpieczeniach typu Zero-day umożliwiają podmiotom zagrożonym korzystanie z ślepych punktów zabezpieczeń. Zazwyczaj atak typu zero-day obejmuje identyfikację luk w zabezpieczeniach typu zero-day, tworzenie odpowiednich exploitów, identyfikowanie podatnych systemów i planowanie ataku. Kolejne kroki to infiltracja i uruchomienie.

ten artykuł analizuje trzy ostatnie ataki zero-day, które były skierowane na Microsoft, Internet Explorer i Sophos. Na koniec dowiesz się o czterech rozwiązaniach ochrony i zapobiegania zero-day—NGAV, EDR, IPsec i kontroli dostępu do sieci.

co to jest luka zero-day?

luki Zero-day to krytyczne zagrożenia, które nie zostały jeszcze publicznie ujawnione lub które zostały odkryte dopiero w wyniku ataku. Z definicji dostawcy i użytkownicy nie wiedzą jeszcze o podatności. Termin zero-day wywodzi się od momentu wykrycia zagrożenia (day zero). Od tego dnia odbywa się wyścig między zespołami bezpieczeństwa i atakującymi, aby odpowiednio łatać lub wykorzystywać zagrożenie jako pierwsze.

Anatomia ataku zero-day

atak zero-day ma miejsce, gdy przestępcy wykorzystują lukę zero-day. Oś czasu ataku zero-day często obejmuje następujące kroki.

1. Wykrywanie luk w zabezpieczeniach: przestępcy testują otwarty kod źródłowy i aplikacje własnościowe pod kątem luk, które nie zostały jeszcze zgłoszone. Atakujący mogą również zwrócić się do czarnych rynków, aby kupić informacje o lukach w zabezpieczeniach, które nie są jeszcze publiczne.
2. Tworzenie exploitów: atakujący tworzą zestaw, skrypt lub proces, który umożliwia im wykorzystanie wykrytej luki.
3. identyfikowanie systemów podatnych na ataki: gdy exploit jest dostępny, atakujący zaczynają szukać systemów, których to dotyczy. Może to obejmować korzystanie z automatycznych skanerów, botów lub ręcznego sondowania.
4. planowanie ataku: rodzaj ataku, który przestępca chce wykonać, określa ten krok. Jeśli atak jest ukierunkowany, atakujący zazwyczaj przeprowadzają rozpoznanie, aby zmniejszyć swoje szanse na złapanie i zwiększyć szansę na sukces. W przypadku ataków ogólnych przestępcy częściej używają kampanii phishingowych lub botów, aby jak najszybciej uderzyć w jak najwięcej celów.
5. infiltracja i uruchomienie: jeśli luka wymaga najpierw infiltracji systemu, atakujący pracują, aby to zrobić przed wdrożeniem exploita. Jeśli jednak można wykorzystać lukę w zabezpieczeniach, aby uzyskać dostęp, exploit jest stosowany bezpośrednio.

ostatnie przykłady ataków

skuteczne zapobieganie atakom typu zero-day to poważne wyzwanie dla każdej grupy ds. bezpieczeństwa. Ataki te przychodzą bez ostrzeżenia i mogą ominąć wiele systemów bezpieczeństwa. Szczególnie te, które opierają się na metodach opartych na podpisie. Aby poprawić bezpieczeństwo i zmniejszyć ryzyko, możesz zacząć od zapoznania się z rodzajami ataków, które miały ostatnio miejsce.

Microsoft

w marcu 2020 r.Microsoft ostrzegł użytkowników przed atakami zero-day wykorzystującymi dwie oddzielne luki. Luki te miały wpływ na wszystkie obsługiwane wersje systemu Windows i nie spodziewano się poprawek dopiero kilka tygodni później. Obecnie nie ma identyfikatora CVE dla tej luki.

ataki ukierunkowane na luki w zabezpieczeniach zdalnego wykonywania kodu (RCE) w Bibliotece Adobe Type Manager (ATM). Ta Biblioteka jest wbudowana w System Windows do zarządzania czcionkami PostScript Type 1. Błędy w ATM umożliwiły atakującym korzystanie ze złośliwych dokumentów do zdalnego uruchamiania skryptów. Dokumenty dotarły przez spam lub zostały pobrane przez niczego nie podejrzewających użytkowników. Po otwarciu lub wyświetleniu podglądu w Eksploratorze plików Windows Skrypty uruchamiały się, infekując Urządzenia Użytkownika.

Internet Explorer

Internet Explorer (IE), starsza przeglądarka Microsoftu, jest kolejnym ostatnim źródłem ataków zero-day. Ta luka (CVE-2020-0674) występuje z powodu błędu w sposobie, w jaki silnik skryptowy IE zarządza obiektami w pamięci. Wpłynęło to na IE v9-11.

atakujący są w stanie wykorzystać tę lukę, nakłaniając użytkowników do odwiedzenia strony internetowej stworzonej w celu wykorzystania luki. Można to osiągnąć poprzez phishingowe wiadomości e-mail lub poprzez przekierowanie linków i żądań serwera.

Sophos

w kwietniu 2020 r.zgłoszono ataki zero-day na zaporę XG Sophos. Ataki te miały na celu wykorzystanie luki w zabezpieczeniach SQL injection (CVE-2020-12271) skierowanej na wbudowany serwer bazy danych PostgreSQL zapory.

jeśli zostanie pomyślnie wykorzystany, luka ta umożliwi atakującym wstrzyknięcie kodu do bazy danych. Kod ten może być użyty do zmiany ustawień zapory sieciowej, przyznania dostępu do systemów lub umożliwienia instalacji złośliwego oprogramowania.

Ochrona i zapobieganie

aby prawidłowo bronić się przed atakami typu zero-day, musisz nałożyć zaawansowane zabezpieczenia na istniejące narzędzia i strategie. Poniżej znajduje się kilka rozwiązań i praktyk zaprojektowanych, aby pomóc w wykrywaniu nieznanych zagrożeń i zapobieganiu im.

next-generation antivirus

next-generation antivirus (NGAV) rozszerza się na tradycyjny program antywirusowy. Robi to poprzez włączenie funkcji uczenia maszynowego, wykrywania zachowań i ograniczania wykorzystania. Funkcje te umożliwiają NGAV wykrywanie złośliwego oprogramowania nawet wtedy, gdy nie ma znanego podpisu lub skrótu pliku (na którym opiera się tradycyjny AV).

ponadto rozwiązania te są często oparte na chmurze, co umożliwia wdrażanie narzędzi w izolacji i na dużą skalę. Dzięki temu wszystkie urządzenia są chronione i zabezpieczenia pozostają aktywne, nawet jeśli ich to dotyczy.

Endpoint detection and response

Endpoint detection and response (EDR) rozwiązania zapewniają widoczność, monitorowanie i automatyczną ochronę punktów końcowych. Rozwiązania te monitorują cały ruch w punktach końcowych i mogą wykorzystywać sztuczną inteligencję do klasyfikowania podejrzanych zachowań punktów końcowych, takich jak na przykład częste żądania lub połączenia z zagranicznych adresów IP. Te możliwości umożliwiają blokowanie zagrożeń niezależnie od metody ataku.

dodatkowo funkcje EDR mogą być używane do śledzenia i monitorowania użytkowników lub plików. Dopóki śledzony aspekt zachowuje się zgodnie z normalnymi wytycznymi, nie podejmuje się żadnych działań. Jednak gdy tylko zachowanie się zmieni, zespoły bezpieczeństwa mogą zostać powiadomione.

te możliwości nie wymagają wiedzy o konkretnych zagrożeniach. Zamiast tego funkcje wykorzystują analizę zagrożeń do dokonywania uogólnionych porównań. Dzięki temu EDR jest skuteczny przeciwko atakom typu zero-day.

bezpieczeństwo IP

bezpieczeństwo IP (IPsec) to zestaw standardowych protokołów używanych przez Internet engineering Task forces (IETFs). Umożliwia zespołom stosowanie środków uwierzytelniania danych oraz weryfikację integralności i poufności między punktami połączeń. Umożliwia również szyfrowanie i bezpieczne zarządzanie kluczami oraz ich wymianę.

możesz użyć IPsec do uwierzytelniania i szyfrowania całego ruchu sieciowego. Pozwala to zabezpieczyć połączenia oraz szybko identyfikować i reagować na wszelkie niesieciowe lub podejrzane ruch. Te umiejętności pozwalają zwiększyć trudność wykorzystania luk w zabezpieczeniach typu zero-day i zmniejszyć szansę powodzenia ataków.

implementacja kontroli dostępu do sieci

Kontrola dostępu do sieci umożliwia segmentację sieci w bardzo szczegółowy sposób. Pozwala to dokładnie określić, którzy użytkownicy i urządzenia mogą uzyskać dostęp do zasobów i za pomocą jakich środków. Obejmuje to ograniczenie dostępu tylko do tych urządzeń i użytkowników z odpowiednimi łatami zabezpieczeń lub narzędziami.

Kontrola dostępu do sieci może pomóc zapewnić ochronę systemów bez zakłócania wydajności lub wymuszania całkowitego ograniczenia dostępu z zewnątrz. Na przykład rodzaj dostępu wymagany podczas hostowania oprogramowania jako usługi (SaaS).

te elementy sterujące są korzystne dla ochrony przed zagrożeniami typu zero-day, ponieważ umożliwiają zapobieganie bocznym ruchom w sieciach. To skutecznie izoluje wszelkie uszkodzenia, które może spowodować zagrożenie typu zero-day.

bezpieczeństwo

ostatnie ataki typu zero-day pokazują, że coraz więcej podmiotów zagrożeń znajduje łatwy ślad w użytkownikach punktów końcowych. Atak zero-day Na Microsoft wykorzystał luki w bankomatach, aby nakłonić użytkowników do otwarcia złośliwego oprogramowania. Kiedy aktorzy zagrożeń wykorzystali Internet do zbadania luki zero-day, oszukali użytkowników do odwiedzania złośliwych witryn. Atak zero-day na Sophos może potencjalnie zapewnić użytkownikom dostęp do podmiotów zagrożeń.

jednak, chociaż ataki zero-day są trudne do przewidzenia, możliwe jest zapobieganie i blokowanie tych ataków. EDR security umożliwia organizacjom rozszerzenie wglądu w punkty końcowe, a program antywirusowy nowej generacji zapewnia ochronę przed złośliwym oprogramowaniem bez konieczności polegania na znanych podpisach. Protokoły IPsec umożliwiają organizacji uwierzytelnianie i szyfrowanie ruchu sieciowego, a Kontrola dostępu do sieci zapewnia narzędzia do odmowy dostępu złośliwym podmiotom. Nie pozwól, by aktorzy mieli przewagę. Wykorzystując i nakładając kilka z tych narzędzi i podejść, możesz lepiej chronić swoich pracowników, Dane i organizację.