En nolldagsguide för 2020: senaste attacker och avancerade förebyggande tekniker

    Ilai Bavatiilai Bavati
    2 år sedan

en rad vita hexagoner har olika cybersäkerhetsbilder, med en hexagon som visar orden "zero day."

nolldagars sårbarheter gör det möjligt för hotaktörer att dra nytta av säkerhetsblindspots. Vanligtvis innebär en nolldagsattack identifiering av nolldagars sårbarheter, skapande av relevanta exploater, identifiering av sårbara system och planering av attacken. Nästa steg är infiltration och lansering.

den här artikeln undersöker tre senaste nolldagsattacker, som riktade sig mot Microsoft, Internet Explorer och Sophos. Slutligen kommer du att lära dig om fyra nolldagars skydds—och förebyggande lösningar-ngav, EDR, IPsec och nätverksåtkomstkontroller.

vad är en nolldagssårbarhet?

Nolldagssårbarheter är kritiska hot som ännu inte offentliggjorts eller som bara upptäcks som ett resultat av en attack. Per definition vet leverantörer och användare ännu inte om sårbarheten. Termen nolldag härstammar från den tid då hotet upptäcks (dag noll). Från och med denna dag inträffar en tävling mellan säkerhetsteam och angripare för att korrigera eller utnyttja hotet först.

Anatomi av en nolldagsattack

en nolldagsattack inträffar när brottslingar utnyttjar en nolldagssårbarhet. Tidslinjen för en nolldagsattack innehåller ofta följande steg.

  1. identifiera sårbarheter: brottslingar testar öppen källkod och egna applikationer för sårbarheter som ännu inte har rapporterats. Angripare kan också vända sig till svarta marknader för att köpa information om sårbarheter som ännu inte är offentliga.
  2. skapande av exploits: angripare skapar ett kit, skript eller en process som gör det möjligt för dem att utnyttja den upptäckta sårbarheten.
  3. identifiera sårbara system: när ett utnyttjande är tillgängligt börjar angripare leta efter drabbade system. Det kan handla om att använda automatiska skannrar, bots eller manuell sondering.
  4. planera attacken: den typ av attack som en brottsling vill utföra bestämmer detta steg. Om en attack riktas, utför angripare vanligtvis rekognosering för att minska deras chans att fångas och öka chansen att lyckas. För allmänna attacker är brottslingar mer benägna att använda phishing-kampanjer eller bots för att försöka träffa så många mål så snabbt som möjligt.
  5. Infiltration och lansering: om en sårbarhet kräver att man först infiltrerar ett system, arbetar angripare för att göra det innan de utnyttjar utnyttjandet. Men om en sårbarhet kan utnyttjas för att få tillträde tillämpas utnyttjandet direkt.

Nya exempel på attacker

att effektivt förhindra nolldagsattacker är en betydande utmaning för alla säkerhetsgrupper. Dessa attacker kommer utan varning och kan kringgå många säkerhetssystem. Särskilt de som förlitar sig på signaturbaserade metoder. För att förbättra din säkerhet och minska risken kan du börja med att lära dig om vilka typer av attacker som nyligen har inträffat.

Microsoft

i mars 2020 varnade Microsoft användare för nolldagsattacker som utnyttjar två separata sårbarheter. Dessa sårbarheter påverkade alla stödda Windows-versioner och ingen patch förväntades förrän veckor senare. Det finns för närvarande ingen CVE-identifierare för denna sårbarhet.

attackerna riktade sig mot RCE-sårbarheter (remote code execution) i Adobe Type Manager-biblioteket (ATM). Detta bibliotek är inbyggt i Windows för att hantera PostScript typ 1-teckensnitt. Bristerna i ATM gjorde det möjligt för angripare att använda skadliga dokument för att fjärr köra skript. Dokumenten anlände via spam eller laddades ner av intet ont anande användare. När den öppnas eller förhandsgranskas med Windows File Explorer, skulle skripten köra, infektera användarenheter.

Internet Explorer

Internet Explorer (IE), Microsofts äldre webbläsare, är en annan ny källa till nolldagsattacker. Denna sårbarhet (CVE-2020-0674) uppstår på grund av ett fel i hur IE-skriptmotorn hanterar objekt i minnet. Det påverkade IE v9-11.

angripare kan utnyttja denna sårbarhet genom att lura användare att besöka en webbplats utformad för att utnyttja felet. Detta kan åstadkommas genom phishing-e-postmeddelanden eller genom omdirigering av länkar och serverförfrågningar.

Sophos

i April 2020 rapporterades nolldagsattacker mot Sophos XG-brandvägg. Dessa attacker försökte utnyttja en SQL-injektionssårbarhet (CVE-2020-12271) riktad mot brandväggens inbyggda PostgreSQL-databasserver.

om den utnyttjas framgångsrikt skulle denna sårbarhet göra det möjligt för angripare att injicera kod i databasen. Den här koden kan användas för att ändra brandväggsinställningar, ge åtkomst till system eller möjliggöra installation av skadlig kod.

skydd och förebyggande

för att korrekt försvara sig mot nolldagsattacker måste du lägga avancerade skydd ovanpå dina befintliga verktyg och strategier. Nedan följer några lösningar och metoder som är utformade för att hjälpa dig att upptäcka och förebygga okända hot.

nästa generations antivirus

nästa generations antivirus (Ngav) expanderar på traditionellt antivirus. Det gör detta genom att inkludera funktioner för maskininlärning, beteendedetektering och utnyttjande av begränsning. Dessa funktioner gör det möjligt för NGAV att upptäcka skadlig kod även när det inte finns någon känd signatur eller filhash (som traditionell AV förlitar sig på).

dessutom är dessa lösningar ofta molnbaserade, så att du kan distribuera verktyg isolerat och i skala. Detta hjälper till att säkerställa att alla dina enheter är skyddade och att skyddet förblir aktivt även om enheter påverkas.

Endpoint detection and response

EDR-lösningar (Endpoint detection and response) ger synlighet, övervakning och automatiserat skydd för dina slutpunkter. Dessa lösningar övervakar all slutpunktstrafik och kan använda artificiell intelligens för att klassificera misstänkta slutpunktsbeteenden, till exempel för frekventa förfrågningar eller anslutningar från utländska IP-adresser. Dessa funktioner gör att du kan blockera hot oavsett attackmetod.

dessutom kan EDR-funktioner användas för att spåra och övervaka användare eller filer. Så länge den spårade aspekten beter sig inom normala riktlinjer, ingen åtgärd vidtas. Men så snart beteendet avviker kan säkerhetsgrupper varnas.

dessa funktioner kräver ingen kunskap om specifika hot. Istället utnyttjar kapacitet hotintelligens för att göra generaliserade jämförelser. Detta gör EDR effektivt mot nolldagsattacker.

IP-säkerhet

IP-säkerhet (IPsec) är en uppsättning standardprotokoll som används av Internet engineering task forces (Ietfs). Det gör det möjligt för team att tillämpa dataautentiseringsåtgärder och Verifiera integritet och konfidentialitet mellan Anslutningspunkter. Det möjliggör också kryptering och säker nyckelhantering och utbyte.

du kan använda IPsec för att autentisera och kryptera all din nätverkstrafik. Detta gör att du kan säkra anslutningar och snabbt identifiera och svara på all icke-nätverk eller misstänkt trafik. Dessa förmågor gör att du kan öka svårigheten att utnyttja nolldagars sårbarheter och minska risken för att attacker lyckas.

implementera nätverksåtkomstkontroller

nätverksåtkomstkontroller gör att du kan segmentera dina nätverk på ett mycket granulärt sätt. Detta gör att du kan definiera exakt vilka användare och enheter som kan komma åt dina tillgångar och på vilket sätt. Detta inkluderar att begränsa åtkomsten till endast de enheter och användare med lämpliga säkerhetsuppdateringar eller verktyg.

nätverksåtkomstkontroller kan hjälpa dig att se till att dina system är skyddade utan att störa produktiviteten eller tvinga fullständig begränsning av extern åtkomst. Till exempel den typ av åtkomst som behövs när du är värd för software as a service (SaaS).

dessa kontroller är fördelaktiga för att skydda mot nolldagshot eftersom de gör att du kan förhindra sidorörelser i dina nätverk. Detta isolerar effektivt alla skador som ett nolldagshot kan orsaka.

Staying safe

senaste nolldagsattacker visar att fler och fler hotaktörer hittar ett enkelt märke i slutpunktsanvändare. Nolldagsattacken på Microsoft utnyttjade ATM-sårbarheter för att lura användare att öppna skadlig kod. När hotaktörer utnyttjade en Internet Explore zero-day sårbarhet lurade de användare att besöka skadliga webbplatser. Nolldagsattacken på Sophos kan potentiellt ge användaren tillgång till hotaktörer.

även om nolldagsattacker är svåra att förutsäga är det dock möjligt att förhindra och blockera dessa attacker. EDR security gör det möjligt för organisationer att utöka synligheten till slutpunkter, och nästa generations antivirus ger skydd mot skadlig kod utan att behöva förlita sig på kända signaturer. IPsec-protokoll gör det möjligt för organisationen att autentisera och kryptera nätverkstrafik, och nätverksåtkomstkontroller ger verktygen för att neka åtkomst till skadliga aktörer. Låt inte Hot aktörer har övertaget. Genom att använda och lägga flera av dessa verktyg och tillvägagångssätt kan du bättre skydda dina anställda, dina data och din organisation.

Leave a Reply