Уязвимости нулевого дня позволяют субъектам угроз использовать преимущества «слепых точек» безопасности. Как правило, атака нулевого дня включает в себя выявление уязвимостей нулевого дня, создание соответствующих эксплойтов, выявление уязвимых систем и планирование атаки. Следующие шаги - проникновение и запуск.
Уязвимости нулевого дня - это критические угрозы , которые еще не раскрыты публично или обнаруживаются только в результате атаки. По определению, поставщики и пользователи еще не знают об уязвимости. Термин «нулевой день» происходит от момента обнаружения угрозы (нулевой день). С этого дня между командами безопасности и злоумышленниками происходит гонка, чтобы сначала соответственно исправить или использовать угрозу.
Атака нулевого дня происходит, когда преступники используют уязвимость нулевого дня. Хронология атаки нулевого дня часто включает в себя следующие шаги.
Эффективное предотвращение атак нулевого дня является серьезной проблемой для любой группы безопасности. Эти атаки происходят без предупреждения и могут обойти многие системы безопасности. Особенно те, которые полагаются на сигнатурные методы. Чтобы повысить безопасность и снизить риск, вы можете начать с изучения типов атак, которые недавно произошли.
В марте 2020 года Microsoft предупредила пользователей о атаках нулевого дня, использующих две отдельные уязвимости. Эти уязвимости затронули все поддерживаемые версии Windows, и до недель спустя патча не ожидалось. В настоящее время нет идентификатора CVE для этой уязвимости.
Атаки были направлены на уязвимости удаленного выполнения кода (RCE) в библиотеке Adobe Type Manager (ATM). Эта библиотека встроена в Windows для управления шрифтами PostScript Type 1. Недостатки ATM позволили злоумышленникам использовать вредоносные документы для удаленного запуска сценариев. Документы поступили через спам или были загружены ничего не подозревающими пользователями. При открытии или предварительном просмотре с помощью Windows File Explorer сценарии запускались, заражая пользовательские устройства.
Internet Explorer (IE), устаревший браузер Microsoft, является еще одним недавним источником атак нулевого дня. Эта уязвимость ( CVE-2020-0674 ) возникает из-за недостатка способа, которым механизм сценариев IE управляет объектами в памяти. Это повлияло на IE v9-11.
Злоумышленники могут использовать эту уязвимость, обманывая пользователей, посещая веб-сайт, созданный для использования этой уязвимости. Это можно сделать с помощью фишинговых писем или перенаправления ссылок и запросов к серверу.
В апреле 2020 года были зарегистрированы атаки нулевого дня на межсетевой экран Sophos XG. Эти атаки пытались использовать уязвимость SQL-инъекции ( CVE-2020-12271 ), нацеленную на встроенный сервер баз данных PostgreSQL брандмауэра.
В случае успешного использования эта уязвимость позволит злоумышленникам внедрить код в базу данных. Этот код можно использовать для изменения настроек брандмауэра, предоставления доступа к системам или включения установки вредоносного ПО.
Чтобы правильно защищаться от атак нулевого дня, вам нужно наложить дополнительные средства защиты поверх существующих инструментов и стратегий. Ниже приведены несколько решений и методов, разработанных, чтобы помочь вам обнаружить и предотвратить неизвестные угрозы.
Антивирус следующего поколения (NGAV) распространяется на традиционный антивирус. Это достигается за счет включения функций машинного обучения, обнаружения поведения и снижения уязвимости. Эти функции позволяют NGAV обнаруживать вредоносные программы, даже если нет известных сигнатур или хэшей файлов (на которые опирается традиционное AV).
Кроме того, эти решения часто основаны на облаке, что позволяет развертывать инструменты в отдельности и в масштабе. Это помогает гарантировать, что все ваши устройства защищены, и что защита остается активной, даже если устройства затронуты.
Решения обнаружения и реагирования на конечные точки (EDR) обеспечивают наглядность, мониторинг и автоматическую защиту ваших конечных точек. Эти решения контролируют весь трафик конечных точек и могут использовать искусственный интеллект для классификации подозрительных действий конечных точек, таких как, например, частые запросы или соединения с внешних IP-адресов. Эти возможности позволяют блокировать угрозы независимо от метода атаки.
Кроме того, функции EDR можно использовать для отслеживания пользователей или файлов. Пока отслеживаемый аспект ведет себя в рамках нормальных ориентиров, никаких действий не предпринимается. Однако, как только поведение меняется, команды безопасности могут быть предупреждены.
Эти возможности не требуют знания конкретных угроз. Вместо этого возможности используют анализ угроз для проведения обобщенных сравнений. Это делает EDR эффективным против атак нулевого дня.
IP Security (IPsec) - это набор стандартных протоколов, используемых целевыми группами по инженерным разработкам в Интернете (IETF). Это позволяет группам применять меры аутентификации данных и проверять целостность и конфиденциальность между точками подключения. Он также обеспечивает шифрование и безопасное управление ключами и их обмен.
Вы можете использовать IPsec для аутентификации и шифрования всего вашего сетевого трафика. Это позволяет вам защищать соединения и быстро выявлять и реагировать на любой не сетевой или подозрительный трафик. Эти способности позволяют повысить сложность использования уязвимостей нулевого дня и уменьшить вероятность успеха атак.
Элементы управления доступом к сети позволяют сегментировать ваши сети очень детально. Это позволяет точно определить, какие пользователи и устройства могут получить доступ к вашим ресурсам и какими средствами. Это включает ограничение доступа только к тем устройствам и пользователям с соответствующими исправлениями безопасности или инструментами.
Контроль доступа к сети может помочь вам обеспечить защиту ваших систем без ущерба для производительности или принудительного полного ограничения внешнего доступа. Например, тип доступа, необходимый при размещении программного обеспечения в качестве службы (SaaS).
Эти элементы управления полезны для защиты от угроз нулевого дня, поскольку они позволяют предотвратить боковое перемещение в ваших сетях. Это эффективно изолирует любой ущерб, который может нанести угроза нулевого дня.
Недавние атаки нулевого дня показывают, что все больше и больше действующих лиц угроз находят легкий отпечаток в конечных пользователях. Атака нулевого дня на Microsoft использовала уязвимости банкоматов, чтобы обманом заставить пользователей открывать вредоносное ПО. Когда субъекты угроз использовали Интернет, исследовали уязвимость нулевого дня, они обманывали пользователей, посещая вредоносные сайты. Атака нулевого дня на Sophos потенциально может предоставить пользователям доступ к субъектам угроз.
Однако, хотя атаки с нулевым днем трудно предсказать, эти атаки можно предотвратить и заблокировать. Безопасность EDR позволяет организациям расширить доступ к конечным точкам, а антивирус следующего поколения обеспечивает защиту от вредоносных программ, не полагаясь на известные сигнатуры. Протоколы IPsec позволяют организации проверять подлинность и шифровать сетевой трафик, а средства контроля доступа к сети предоставляют средства, запрещающие доступ злоумышленникам. Не позволяйте актерам угрозы взять верх. Используя некоторые из этих инструментов и подходов, вы сможете лучше защитить своих сотрудников, свои данные и свою организацию.
Posted: by Ilai Bavati