Un ghid zero-day pentru 2020: atacuri recente și tehnici avansate de prevenire

Ilai Bavati
acum 2 ani

vulnerabilitățile Zero-day permit actorilor amenințării să profite de punctele oarbe de securitate. De obicei, un atac de zi zero implică identificarea vulnerabilităților de zi zero, crearea de exploatări relevante, identificarea sistemelor vulnerabile și planificarea atacului. Următorii pași sunt infiltrarea și lansarea.

acest articol examinează trei atacuri recente zero-day, care au vizat Microsoft, Internet Explorer și Sophos. În cele din urmă, veți afla despre patru soluții de protecție și prevenire zero-day—NGAV, EDR, IPsec și controale de acces la rețea.

ce este o vulnerabilitate zero-day?

vulnerabilitățile Zero-day sunt amenințări critice care nu sunt încă dezvăluite public sau care sunt descoperite doar ca urmare a unui atac. Prin definiție, vânzătorii și utilizatorii nu știu încă despre vulnerabilitate. Termenul zero-zi provine din momentul descoperirii amenințării (ziua zero). Din această zi are loc o cursă între echipele de securitate și atacatori pentru a remedia sau exploata mai întâi amenințarea.

Anatomia unui atac de zi zero

un atac de zi zero apare atunci când infractorii exploatează o vulnerabilitate de zi zero. Cronologia unui atac de zi zero include adesea următorii pași.

1. identificarea vulnerabilităților: infractorii testează codul open source și aplicațiile proprietare pentru vulnerabilități care nu au fost încă raportate. Atacatorii pot apela, de asemenea, la piețele negre pentru a achiziționa informații despre vulnerabilități care nu sunt încă publice.
2. crearea exploatărilor: atacatorii creează un kit, un script sau un proces care le permite să exploateze vulnerabilitatea descoperită.
3. identificarea sistemelor vulnerabile: odată ce un exploit este disponibil, atacatorii încep să caute sisteme afectate. Aceasta poate implica utilizarea scanerelor automate, a roboților sau a sondării manuale.
4. planificarea atacului: tipul de atac pe care un criminal dorește să îl realizeze determină acest pas. Dacă un atac este vizat, atacatorii efectuează de obicei recunoaștere pentru a-și reduce șansa de a fi prinși și pentru a crește șansa de succes. Pentru atacurile generale, infractorii sunt mai predispuși să folosească campanii de phishing sau roboți pentru a încerca să atingă cât mai multe ținte cât mai repede posibil.
5. Infiltrare și lansare: dacă o vulnerabilitate necesită mai întâi infiltrarea unui sistem, atacatorii lucrează pentru a face acest lucru înainte de a implementa exploatarea. Cu toate acestea, dacă o vulnerabilitate poate fi exploatată pentru a obține intrarea, exploatarea este aplicată direct.

exemple recente de atacuri

prevenirea eficientă a atacurilor de zi zero este o provocare semnificativă pentru orice echipă de securitate. Aceste atacuri vin fără avertisment și pot ocoli multe sisteme de securitate. În special cele care se bazează pe metode bazate pe semnături. Pentru a vă ajuta să vă îmbunătățiți securitatea și să vă reduceți riscul, puteți începe prin a afla despre tipurile de atacuri care au avut loc recent.

Microsoft

în martie 2020, Microsoft a avertizat utilizatorii cu privire la atacurile zero-day care exploatează două vulnerabilități separate. Aceste vulnerabilități au afectat toate versiunile Windows acceptate și nu a fost așteptat niciun patch până săptămâni mai târziu. În prezent nu există un identificator CVE pentru această vulnerabilitate.

atacurile au vizat vulnerabilitățile RCE (remote code execution) din biblioteca Adobe Type Manager (ATM). Această bibliotecă este încorporată în Windows pentru a gestiona fonturile PostScript Type 1. Defectele din ATM au permis atacatorilor să utilizeze documente rău intenționate pentru a rula de la distanță scripturi. Documentele au ajuns prin spam sau au fost descărcate de utilizatori care nu se întreabă. Când este deschis sau previzualizat cu Windows File Explorer, scripturile ar rula, infectând dispozitivele utilizatorului.

Internet Explorer

Internet Explorer (IE), browserul vechi Microsoft, este o altă sursă recentă de atacuri zero-day. Această vulnerabilitate (CVE-2020-0674) apare din cauza unui defect în modul în care motorul de script IE gestionează obiectele din memorie. A afectat IE V9-11.

atacatorii pot folosi această vulnerabilitate păcălind utilizatorii să viziteze un site creat pentru a exploata defectul. Acest lucru poate fi realizat prin e-mailuri de tip phishing sau prin redirecționarea linkurilor și a cererilor serverului.

Sophos

în aprilie 2020, au fost raportate atacuri de zi zero împotriva firewall-ului XG al Sophos. Aceste atacuri au încercat să exploateze o vulnerabilitate SQL injection (CVE-2020-12271) care vizează serverul de baze de date PostgreSQL încorporat al firewall-ului.

dacă este exploatată cu succes, această vulnerabilitate ar permite atacatorilor să injecteze cod în baza de date. Acest cod ar putea fi utilizat pentru a modifica setările firewall-ului, pentru a acorda acces la sisteme sau pentru a permite instalarea de programe malware.

Protecție și prevenire

pentru a vă apăra în mod corespunzător împotriva atacurilor zero-day, trebuie să puneți Protecții avansate pe lângă instrumentele și strategiile existente. Mai jos sunt câteva soluții și practici concepute pentru a vă ajuta să detectați și să preveniți amenințările necunoscute.

antivirus de generație următoare

antivirus de generație următoare (NGAV) se extinde asupra antivirusului tradițional. Face acest lucru prin includerea de caracteristici pentru învățarea automată, detectarea comportamentală și exploatarea atenuării. Aceste caracteristici permit NGAV să detecteze malware chiar și atunci când nu există o semnătură cunoscută sau un fișier hash (pe care se bazează AV tradițional).

în plus, aceste soluții sunt adesea bazate pe cloud, permițându-vă să implementați instrumente în mod izolat și la scară. Acest lucru vă ajută să vă asigurați că toate dispozitivele dvs. sunt protejate și că protecțiile rămân active chiar dacă dispozitivele sunt afectate.

detectarea și răspunsul la punctul final

soluțiile de detectare și răspuns la punctul final (EDR) oferă vizibilitate, monitorizare și protecție automată pentru punctele finale. Aceste soluții monitorizează tot traficul de puncte finale și pot utiliza inteligența artificială pentru a clasifica comportamentele suspecte ale punctelor finale, cum ar fi, de exemplu, cererile frecvente sau conexiunile de la IP-uri străine. Aceste capabilități vă permit să blocați amenințările indiferent de metoda de atac.

în plus, funcțiile EDR pot fi utilizate pentru a urmări și monitoriza utilizatorii sau fișierele. Atâta timp cât aspectul urmărit se comportă în cadrul liniilor directoare normale, nu se iau măsuri. Cu toate acestea, de îndată ce comportamentul deviază, echipele de securitate pot fi alertate.

aceste capabilități nu necesită cunoașterea amenințărilor specifice. În schimb, capacitățile folosesc inteligența amenințărilor pentru a face comparații generalizate. Acest lucru face ca EDR să fie eficient împotriva atacurilor de zi zero.

securitate IP

securitate IP (IPsec) este un set de protocoale standard utilizate de Internet Engineering task forces (IETFs). Permite echipelor să aplice măsuri de autentificare a datelor și să verifice integritatea și confidențialitatea între punctele de conectare. De asemenea, permite criptarea și gestionarea și schimbul de chei sigure.

puteți utiliza IPsec pentru a autentifica și cripta tot traficul de rețea. Acest lucru vă permite să securizați conexiunile și să identificați și să răspundeți rapid la orice trafic non-rețea sau suspect. Aceste abilități vă permit să creșteți dificultatea exploatării vulnerabilităților zero-day și să reduceți șansa ca atacurile să aibă succes.

implementați controalele de acces la rețea

controalele de acces la rețea vă permit să segmentați rețelele într-un mod foarte granular. Acest lucru vă permite să definiți exact ce utilizatori și dispozitive vă pot accesa activele și prin ce mijloace. Aceasta include restricționarea accesului numai la acele dispozitive și utilizatori cu patch-uri de securitate sau instrumente adecvate.

controalele de acces la rețea vă pot ajuta să vă asigurați că sistemele dvs. sunt protejate fără a interfera cu productivitatea sau a forța restricționarea completă a accesului extern. De exemplu, tipul de acces necesar atunci când găzduiți software ca serviciu (SaaS).

aceste controale sunt benefice pentru protejarea împotriva amenințărilor zero-day, deoarece vă permit să preveniți mișcarea laterală în rețelele dvs. Acest lucru izolează în mod eficient orice daune pe care le poate provoca o amenințare de zero zile.

a rămâne în siguranță

atacurile recente de la zero-day arată că din ce în ce mai mulți actori de amenințare găsesc o marcă ușoară la utilizatorii finali. Atacul zero-day asupra Microsoft a exploatat vulnerabilitățile ATM pentru a păcăli utilizatorii să deschidă malware. Când actorii de amenințare au exploatat un internet explorând vulnerabilitatea zero-day, au păcălit utilizatorii să viziteze site-uri rău intenționate. Atacul zero-day asupra Sophos ar putea oferi utilizatorilor acces la actori de amenințare.

cu toate acestea, în timp ce atacurile zero-day sunt dificil de prezis, este posibil să se prevină și să se blocheze aceste atacuri. Securitatea EDR permite organizațiilor să extindă vizibilitatea în punctele finale, iar antivirusul de ultimă generație oferă protecție împotriva malware-ului fără a fi nevoie să se bazeze pe semnături cunoscute. Protocoalele IPsec permit organizației să autentifice și să cripteze traficul de rețea, iar controalele de acces la rețea oferă instrumentele necesare pentru a refuza accesul actorilor rău intenționați. Nu lăsați actorii de amenințare să aibă mâna superioară. Prin utilizarea și stratificarea mai multor dintre aceste instrumente și abordări, vă puteți proteja mai bine angajații, datele și Organizația.