Wat zijn Zero-Day aanvallen?

Wat zijn Zero-Day kwetsbaarheden?

zero-day kwetsbaarheden zijn Onbekende beveiligingsfouten of bugs in software, firmware of hardware waarvan de leverancier niet weet of geen officiële patch of update heeft om de kwetsbaarheid aan te pakken. Vaak leveranciers en gebruikers zijn zich niet bewust van het bestaan van een kwetsbaarheid, tenzij gemeld door een onderzoeker of ontdekt als gevolg van een aanval.

Wat zijn Zero-Day aanvallen?,

volgens het Ponemon Institute waren 80% van de succesvolle inbreuken Zero-Day aanvallen.

wanneer slechte acteurs succesvol een proof of concept (PoC) of een echte malware kunnen ontwikkelen en implementeren die een zero-day kwetsbaarheid uitbuit, dan wordt die PoC of malware een Zero-Day aanval. Als gevolg van het benutten van de zero-day kwetsbaarheid, de slechte acteurs krijgen ongeautoriseerde toegang tot gevoelige gegevens en of kritische systemen – Dit wordt beschouwd als een zero-day aanval.

Wat is een zero-Day Exploit?,

een zero-day exploit is de techniek die slechte acteurs gebruiken om systemen aan te vallen die de zero-day kwetsbaarheid hebben. Onderzoekers gebruiken zero-day exploits om de impact van het ‘exploiteren’ van de fout aan te tonen om onbevoegde toegang te krijgen of het onderliggende systeem in gevaar te brengen.

Zero-Day Exploits krijgen hun naam omdat ze al nul dagen publiekelijk bekend zijn. Het is mogelijk dat kwaadaardige acteurs maken zero-day exploits en wachten om ze strategisch te gebruiken. In dit geval, ook al kent de aanvaller de exploit, het is nog steeds niet publiekelijk bekend, en wordt nog steeds beschouwd als een zero-day exploit.,

de dreiging van een zero-Day Exploit

Zero-day exploits zijn zeer moeilijk te verdedigen omdat gegevens over de exploit over het algemeen alleen beschikbaar zijn voor analyse nadat de aanval zijn loop heeft voltooid. Deze zero-day-aanvallen kunnen de vorm aannemen van polymorfe wormen, virussen, Trojaanse paarden en andere malware.

de meest effectieve aanvallen die detectie vermijden zijn polymorfe wormen. Deze malware vermijdt detectie door vaak te veranderen zijn identificeerbare kenmerken., Wanneer een kwetsbaarheid wordt openbaar en onderzoekers hebben ontdekt een oplossing of de leverancier heeft ingezet een patch, dan wordt het een bekende of “n-day” kwetsbaarheid in plaats van een ‘zero-day exploit.”

volgens het Ponemon Institute waren 80% van de succesvolle inbreuken Zero-Day aanvallen. Daarnaast verwachten organisaties ook dat zero-day-aanvallen vaker voorkomen., (bron: Ponemon Institute, Third Annual State of Endpoint Security Report, januari 2020)

wanneer zero-day exploits openbaar worden – wat betekent dat beveiligingsonderzoekers een blog en advies hebben gepost – bevat het meestal informatie over de lading en de identiteit van de dreigingsactoren erachter. Beveiliging onderzoekers zijn daarom ook gericht hun inspanningen op het begrijpen van de aanvallers exploiteren methodologie. Hun doel is om informatie te verkrijgen die beveiligingsteams zou helpen bij het ontwikkelen van verbeterde en nieuwe detectie, evenals preventieve methoden.,

Hoe worden zero-day exploits gebruikt bij een aanval?

Dit zijn meerdere zero-day exploit methoden voor het starten en uitvoeren van een zero-day aanval. Voorbeelden van veelgebruikte methoden zijn:

• Spear phishing met social engineering. Deze techniek wordt gebruikt door dreigingsactoren (meestal natiestaten) om een specifieke, meestal hoge, individuele doelgroep te krijgen om een speciaal ontworpen kwaadaardige e-mail te openen. Deze acteurs kunnen enige tijd stalken en observeren van het doel in sociale media voorafgaand aan de lancering van de kwaadaardige e-mail., Het doel is om dit individu om de e-mail te openen, dan downloaden van de kwaadaardige payload.
• Spam e-mails en phishing. In dit scenario, aanvallers sturen e-mails naar een zeer groot aantal ontvangers in meerdere organisaties, met de verwachting dat een klein percentage de e-mail zal openen en klik op de link die is ingebed in het bericht. Klikken op de link zal de kwaadaardige lading te downloaden of neemt de gebruiker naar een site die automatisch de malware zou Downloaden. Deze techniek wordt vaak gebruikt door georganiseerde cyber-criminele organisaties.,
• het inbedden van exploit kits in malvertisements en kwaadaardige sites. In dit scenario, slechte acteurs hebben met succes gecompromitteerd een website en geïnjecteerd een kwaadaardige code die een bezoeker zou omleiden naar de exploit kit server.
• afbreuk doen aan een systeem, netwerk of server. Bijvoorbeeld, het toepassen van brute kracht en vervolgens met behulp van de exploit om de aanval uit te voeren. MITRE biedt een uitgebreidere lijst van aanvalstactieken en technieken die slechte acteurs gebruiken om een zero-day-aanval te lanceren en uit te voeren.

wat zijn bekende voorbeelden van succesvolle Zero-Day aanvallen?,

• Heartbleed
• Shellshock
• Stuxnet (een worm die meerdere zero-day kwetsbaarheden heeft uitgebuit)
• Aurora (een georganiseerde aanval die meerdere zero-day kwetsbaarheden heeft uitgebuit)
• Bluekeep kwetsbaarheid (CVE-2019-0708)

wat zijn de beste praktijken voor bescherming tegen Zero-Day aanvallen?

het beoefenen van veilige software lifecycle ontwikkeling om code beveiliging en veilige software te garanderen om potentiële risico ‘ s of kwetsbaarheden te minimaliseren.

• hebben een solid vulnerability management programma en een patching programma., Bijvoorbeeld, update software ASAP, vooral kritische security release updates.
• Cybersecurity awareness training was gericht op social engineering, het herkennen van phishing-en spear-phishingcampagnes en het vermijden van kwaadaardige websites.
• gelaagde beveiligingscontroles implementeren, waaronder perimeter firewalls, IPS / IDS en andere beveiligingscontroles voor datacenters, evenals beveiligingscontroles voor eindpunt.
• Microsegmentatie en de minste privilege toepassen, vooral in hoogwaardige systemen, om het moeilijker en duurder te maken voor aanvallers om hun doelen te bereiken.,
• Threat intelligence, auditing en monitoring van gebruikersactiviteit, connectiviteit en anomaliedetectie.
• een doordacht noodherstel-en back-upplan hebben.

Wat is de rol van real-time zichtbaarheid en microsegmentatie bij het reageren op een zero-Day aanval?

zelfs als software kwetsbaar is, is het mogelijk dat een slechte actor zijn exploit niet noodzakelijkerwijs succesvol kan implementeren als het doel goed ontworpen problemen met toegangscontrole heeft.,

• Real-time zichtbaarheid stelt beveiligings -, it ops – en netwerkteams in staat om het normale verkeer en toepassingsgedrag te modelleren en te begrijpen. Het helpt hen op te sporen nieuwe connectiviteit en ongebruikelijke mislukte pogingen om verbinding te maken met een workload, die indicatoren van een aanval kunnen zijn.
• Microsegmentatie is een preventieve controle. Micro-segmentatie ‘ s default-deny aanpak vermindert de aanval oppervlak. Dit beperkt de aanvalspaden van een exploit en maakt het duurder voor een slechte acteur om hun aanval te verspreiden binnen het netwerk van hun doelwit.,
• Microsegmentatie als compensatiecontrole bij een aanval. Wanneer een zero-day openbaar wordt gemaakt en er geen patch beschikbaar is of als patching niet operationeel haalbaar is, kan een organisatie segmentatie op procesniveau gebruiken om het verkeer tussen workloads en tussen workloads en gebruikers alleen naar specifieke poorten, protocollen en services te vergrendelen.

meer informatie

verken microsegmentatie-opties voor uw organisatie en wees beter beschermd tegen zero-day exploits. Krijg micro-segmentatie.