Vad är nolldagsattacker?

Vad är Nolldagssårbarheter?

nolldagssårbarheter är okända säkerhetsbrister eller fel i programvara, firmware eller hårdvara som leverantören inte vet om, eller inte har en officiell patch eller uppdatering för att ta itu med sårbarheten. Ofta är leverantörer och användare inte medvetna om förekomsten av en sårbarhet om de inte rapporteras av en forskare eller upptäcks som ett resultat av en attack.

Vad är nolldagsattacker?,

enligt Ponemon Institute var 80% av framgångsrika överträdelser nolldagsattacker.

När dåliga aktörer framgångsrikt kan utveckla och distribuera ett proof of concept (PoC) eller en faktisk skadlig kod som utnyttjar en nolldagars sårbarhet blir PoC eller malware en nolldagars attack. Som ett resultat av att utnyttja nolldagssårbarheten får de dåliga aktörerna obehörig åtkomst till känsliga data och eller kritiska system – detta anses vara en nolldagsattack.

Vad är en Zero-Day Exploit?,

en nolldagsutnyttjande är den teknik som dåliga aktörer använder för att attackera system som har nolldagssårbarheten. Forskare använder zero-day exploits för att visa effekten av att ”utnyttja” felet för att få obehörig åtkomst eller äventyra det underliggande systemet.

Zero-Day Exploits får sitt namn eftersom de har varit kända offentligt i noll dagar. Det är möjligt att skadliga aktörer skapar nolldagsutnyttjanden och väntar på att använda dem strategiskt. I det här fallet, även om angriparen känner till exploateringen, är den fortfarande inte känd offentligt och anses fortfarande vara en nolldagsutnyttjande.,

hotet om en Zero-Day Exploit

Zero-day exploits är mycket svåra att försvara sig mot eftersom data om exploateringen i allmänhet endast är tillgänglig för analys efter att attacken har avslutat sin kurs. Dessa nolldagsattacker kan ha formen av polymorfa maskar, virus, trojaner och annan skadlig kod.

de mest effektiva attackerna som undviker upptäckt är polymorfa maskar. Denna malware undviker upptäckt genom att ofta ändra dess identifierbara egenskaper., När en sårbarhet blir offentlig och forskare har upptäckt en lösning eller leverantören har distribuerat en patch, blir det en känd eller ”n-day” sårbarhet istället för en ” zero-day exploit.’

enligt Ponemon Institute var 80% av framgångsrika överträdelser nolldagsattacker. Dessutom förutser organisationer också nolldagsattacker för att bli vanligare., (källa: Ponemon Institute, Third Annual State of Endpoint Security Report, januari 2020)

När zero-day exploits blir offentliga – vilket innebär att säkerhetsforskare har skrivit en blogg och rådgivande – det innehåller vanligtvis information om nyttolasten och identiteten hos hotaktörerna bakom den. Säkerhetsforskare fokuserar därför också sina ansträngningar på att förstå angriparna utnyttja metodiken. Deras mål är att få information som skulle hjälpa säkerhetsgrupper att utveckla förbättrad och ny upptäckt, samt förebyggande metoder.,

hur används zero-day exploits i en attack?

det här är flera nolldagars exploateringsmetoder för att starta och utföra en nolldagsattack. Exempel på vanliga metoder är:

• spjutfiske med social ingenjörskonst. Denna teknik används av hotaktörer (vanligtvis nationalstater) för att få ett specifikt, vanligtvis högt rankat, individuellt mål för att öppna ett specialdesignat skadligt e-postmeddelande. Dessa aktörer kan spendera lite tid stalking och övervaka målet i sociala medier innan du lanserar skadlig e-post., Målet är att få den här personen att öppna e-postmeddelandet och ladda ner den skadliga nyttolasten.
• skräppost och nätfiske. I det här scenariot skickar angripare e-post till ett mycket stort antal mottagare över flera organisationer, med förväntningen att en liten andel öppnar e-postmeddelandet och klickar på länken som är inbäddad i meddelandet. Genom att klicka på länken kommer att ladda ner skadlig nyttolast eller tar användaren till en webbplats som automatiskt skulle ladda ner skadlig kod. Denna teknik används ofta av organiserade cyberkriminella organisationer.,
• bädda in exploit kit i malvertisements och skadliga webbplatser. I detta scenario har dåliga aktörer framgångsrikt äventyrat en webbplats och injicerat en skadlig kod som skulle omdirigera en besökare till exploit kit-servern.
• äventyra ett system, nätverk eller server. Till exempel, applicera brute force och sedan använda exploit för att utföra attacken. MITRE erbjuder en mer omfattande lista över attack taktik och tekniker som dåliga aktörer använder för att starta och utföra en noll-dagars attack.

vilka är välkända exempel på framgångsrika nolldagsattacker?,

• Heartbleed
• Shellshock
• Stuxnet (en mask som utnyttjade flera nolldagars sårbarheter)
• Aurora (en organiserad attack som utnyttjade flera nolldagars sårbarheter)
• BlueKeep Vulnerability (CVE-2019-0708)

vilka är de bästa metoderna för skydd mot nolldagsattacker?

öva säker livscykelutveckling för programvara för att säkerställa kodsäkerhet och säker programvara för att minimera potentiella risker eller sårbarheter.

• har ett solid sårbarhetshanteringsprogram och ett patchprogram., Till exempel Uppdatera programvara ASAP, särskilt kritiska säkerhetsutgåvor.
• utbildning för att öka medvetenheten om cybersäkerhet inriktades på social ingenjörskonst, erkänna nätfiske och spjutfiskningskampanjer och undvika skadliga webbplatser.
• distribuera lager säkerhetskontroller inklusive perimeter brandväggar, IPS / ID och andra datacenter säkerhetskontroller samt endpoint säkerhetskontroller.
• tillämpa mikrosegmentering och minst privilegium, särskilt i högvärdessystem, för att göra det svårare och dyrare för angripare att nå sina mål.,
• Threat intelligence, revision och övervakning av användaraktivitet, anslutning och anomalidetektering.
• har en genomtänkt katastrofåterställning och säkerhetskopieringsplan.

vilken roll spelar realtidssynlighet och mikrosegmentering när det gäller att svara på en Nolldagsattack?

även om programvaran är sårbar kanske en dålig aktör inte nödvändigtvis kan distribuera sin exploatering framgångsrikt om målet hade väl utformade åtkomstkontrollproblem på plats.,

• realtid synlighet möjliggör säkerhet, IT ops, och nätverksteam att modellera och förstå den normala trafik-och applikationsbeteende. Det hjälper dem att upptäcka ny anslutning och ovanliga misslyckade försök att ansluta till en arbetsbelastning, vilket kan vara indikatorer på en attack.
• Mikrosegmentering är en förebyggande kontroll. Mikrosegmenteringens standard-neka-tillvägagångssätt minskar attackytan. Detta begränsar attackvägarna för ett utnyttjande och gör det dyrare för en dålig skådespelare att sprida sin attack inuti deras målnätverk.,
• Mikrosegmentering som kompenserande kontroll vid en attack. När en nolldag avslöjas offentligt och ingen patch är tillgänglig eller om lappning inte är operativt genomförbar kan en organisation använda segmentering på processnivå för att låsa ner trafiken mellan arbetsbelastningar och mellan arbetsbelastningar och användare endast till specifika portar, protokoll och tjänster.

Läs mer

utforska mikrosegmenteringsalternativ för din organisation och bli bättre skyddad mot nolldagsutnyttjande. Få mikrosegmentering.