De dia zero guia para 2020: ataques Recentes e avançadas técnicas preventivas
vulnerabilidades de dia Zero permitem que os agentes de ameaças aproveitem os pontos cegos de segurança. Normalmente, um ataque de dia zero envolve a identificação de vulnerabilidades de dia zero, criando exploits relevantes, identificando sistemas vulneráveis e planejando o ataque. Os próximos passos são infiltração e lançamento.
este artigo examina três ataques recentes de dia zero, que visavam Microsoft, Internet Explorer e Sophos. Finalmente, você aprenderá sobre quatro soluções de proteção e prevenção de dia zero-NGAV, EDR, IPsec e controles de acesso à rede.
o que é uma vulnerabilidade de dia zero?Vulnerabilidades de dia Zero são ameaças críticas que ainda não foram divulgadas publicamente ou que só foram descobertas como resultado de um ataque. Por definição, fornecedores e usuários ainda não sabem sobre a vulnerabilidade. O termo dia zero decorre do momento em que a ameaça é descoberta (dia zero). A partir deste dia, ocorre uma corrida entre equipes de segurança e atacantes para corrigir ou explorar a ameaça primeiro.
Anatomia de um ataque de dia-zero
Um ataque de dia-zero ocorre quando os criminosos explorar uma vulnerabilidade de dia zero. A linha do tempo de um ataque de dia zero geralmente inclui as seguintes etapas.
- identificando vulnerabilidades: criminosos testam código-fonte aberto e aplicativos proprietários para vulnerabilidades que ainda não foram relatadas. Os invasores também podem recorrer aos mercados negros para comprar informações sobre vulnerabilidades que ainda não são públicas.
- criação de exploits: os atacantes criam um kit, script ou processo que lhes permite explorar a vulnerabilidade descoberta.
- identificando sistemas vulneráveis: uma vez que um exploit está disponível, os atacantes começam a procurar sistemas afetados. Isso pode envolver o uso de scanners automatizados, bots ou sondagem manual.
- Planejando o ataque: o tipo de ataque que um criminoso quer realizar determina esta etapa. Se um ataque for direcionado, os atacantes normalmente realizam reconhecimento para reduzir suas chances de serem pegos e aumentar as chances de sucesso. Para ataques gerais, os criminosos são mais propensos a usar campanhas de phishing ou bots para tentar atingir o maior número possível de alvos o mais rápido possível.
- Infiltration and launch: se uma vulnerabilidade requer primeiro a infiltração de um sistema, os atacantes trabalham para fazê-lo antes de implantar o exploit. No entanto, se uma vulnerabilidade puder ser explorada para obter entrada, a exploração será aplicada diretamente.
exemplos recentes de ataques
prevenir efetivamente ataques de dia zero é um desafio significativo para qualquer equipe de segurança. Esses ataques vêm sem aviso e podem ignorar muitos sistemas de segurança. Particularmente aqueles que dependem de métodos baseados em assinaturas. Para ajudar a melhorar sua segurança e diminuir seu risco, você pode começar aprendendo sobre os tipos de ataques que ocorreram recentemente.Em Março de 2020, a Microsoft alertou os usuários sobre ataques de dia zero explorando duas vulnerabilidades separadas. Essas vulnerabilidades afetaram todas as versões suportadas do Windows e nenhum patch era esperado até semanas depois. Atualmente, não existe um identificador CVE para esta vulnerabilidade.
os ataques visaram vulnerabilidades de Execução Remota de código (RCE) na Biblioteca do Adobe Type Manager (ATM). Esta Biblioteca é integrada ao Windows para gerenciar fontes PostScript Tipo 1. As falhas no ATM permitiram que os invasores usassem documentos maliciosos para executar scripts remotamente. Os documentos chegaram através de spam ou foram baixados por usuários desavisados. Quando abertos ou visualizados com o Windows File Explorer, os scripts seriam executados, infectando dispositivos do Usuário.
Internet Explorer
o Internet Explorer (IE), o navegador legado da Microsoft, é outra fonte recente de ataques de dia zero. Essa vulnerabilidade (CVE-2020-0674) ocorre devido a uma falha na maneira como o mecanismo de script do IE gerencia objetos na memória. Afetou o IE v9-11.
os invasores são capazes de aproveitar essa vulnerabilidade enganando os usuários a visitar um site criado para explorar a falha. Isso pode ser feito por meio de E-mails de phishing ou por meio do redirecionamento de links e solicitações de servidor.
Sophos
em abril de 2020, ataques de dia zero foram relatados contra o Sophos’ XG firewall. Esses ataques tentaram explorar uma vulnerabilidade de injeção SQL (CVE-2020-12271) visando o servidor de banco de dados PostgreSQL integrado do firewall.
se explorada com sucesso, essa vulnerabilidade permitiria que os invasores injetassem código no banco de dados. Esse código pode ser usado para modificar as configurações do firewall, conceder acesso a sistemas ou permitir a instalação de malware.
proteção e prevenção
para se defender adequadamente contra ataques de dia zero, você precisa colocar proteções avançadas em cima de suas ferramentas e estratégias existentes. Abaixo estão algumas soluções e práticas projetadas para ajudá-lo a detectar e prevenir ameaças desconhecidas.
next-generation antivirus
next-generation antivirus (NGAV) expande antivírus tradicional. Ele faz isso incluindo recursos para aprendizado de máquina, detecção comportamental e mitigação de exploração. Esses recursos permitem que o NGAV detecte malware mesmo quando não há assinatura conhecida ou hash de arquivo (do qual o AV tradicional depende). Além disso, essas soluções geralmente são baseadas em nuvem, permitindo que você implemente ferramentas isoladamente e em escala. Isso ajuda a garantir que todos os seus dispositivos estejam protegidos e que as proteções permaneçam ativas, mesmo que os dispositivos sejam afetados.
detecção e Resposta de Endpoint
as soluções de detecção e Resposta de Endpoint (EDR) fornecem visibilidade, monitoramento e proteções automatizadas para seus endpoints. Essas soluções monitoram todo o tráfego de endpoint e podem usar inteligência artificial para classificar comportamentos suspeitos de endpoint, como, por exemplo, solicitações frequentes ou conexões de IPs estrangeiros. Esses recursos permitem bloquear ameaças, independentemente do método de ataque. Além disso, os recursos EDR podem ser usados para rastrear e monitorar usuários ou arquivos. Enquanto o aspecto rastreado se comportar dentro das diretrizes normais, nenhuma ação é tomada. No entanto, assim que o comportamento se desvia, as equipes de segurança podem ser alertadas.
esses recursos não requerem conhecimento de ameaças específicas. Em vez disso, os recursos aproveitam a inteligência de ameaças para fazer comparações generalizadas. Isso torna o EDR eficaz contra ataques de dia zero.
segurança IP
a segurança IP (IPsec) é um conjunto de protocolos padrão usados pelas forças-tarefa de Engenharia da Internet (Ietfs). Ele permite que as equipes apliquem medidas de autenticação de dados e verifiquem a integridade e a confidencialidade entre os pontos de conexão. Ele também permite criptografia e gerenciamento e troca de chaves seguras.
você pode usar o IPsec para autenticar e criptografar todo o tráfego de sua rede. Isso permite que você proteja conexões e identifique e responda rapidamente a qualquer tráfego Não-rede ou suspeito. Essas habilidades permitem aumentar a dificuldade de explorar vulnerabilidades de dia zero e diminuir a chance de que os ataques sejam bem-sucedidos.
implementar controles de acesso à rede
os controles de acesso à rede permitem segmentar suas redes de maneira altamente granular. Isso permite que você defina exatamente quais usuários e dispositivos podem acessar seus ativos e por quais meios. Isso inclui restringir o acesso apenas a esses dispositivos e usuários com os patches de segurança ou ferramentas apropriados. Os controles de acesso à rede podem ajudá-lo a garantir que seus sistemas estejam protegidos sem interferir na produtividade ou forçar a restrição completa do acesso externo. Por exemplo, o tipo de acesso necessário quando você hospeda Software como serviço (SaaS).
esses controles são benéficos para proteger contra ameaças de dia zero, pois permitem evitar movimentos laterais em suas redes. Isso efetivamente isola qualquer dano que uma ameaça de dia zero possa causar.
ficar seguro
ataques recentes de dia zero mostram que cada vez mais atores de ameaças encontram uma marca fácil nos usuários de endpoint. O ataque de dia zero à Microsoft explorou vulnerabilidades de caixas eletrônicos para induzir os usuários a abrir malware. Quando os agentes de ameaças exploram uma vulnerabilidade de dia zero na Internet, eles induzem os usuários a visitar sites maliciosos. O ataque de dia zero ao Sophos poderia potencialmente conceder ao usuário acesso a atores de ameaças.
no entanto, embora os ataques de dia zero sejam difíceis de prever, é possível prevenir e bloquear esses ataques. O EDR security permite que as organizações ampliem a visibilidade dos endpoints, e o Antivírus de última geração fornece proteção contra malware sem ter que confiar em assinaturas conhecidas. Os protocolos IPsec permitem que a organização autentique e criptografe o tráfego de rede, e os controles de acesso à rede fornecem as ferramentas para negar o acesso a atores mal-intencionados. Não deixe que os atores da ameaça tenham vantagem. Ao utilizar e colocar em camadas várias dessas ferramentas e abordagens, você pode proteger melhor seus funcionários, seus dados e sua organização.
Leave a Reply