Was sind Zero-Day-Angriffen?

Was sind Zero-Day-Schwachstellen?

Zero-Day-Sicherheitslücken sind unbekannte Sicherheitslücken oder Fehler in Software, Firmware oder Hardware, die der Anbieter nicht kennt oder über keinen offiziellen Patch oder Update verfügt, um die Sicherheitslücke zu beheben. Häufig sind sich Anbieter und Benutzer der Existenz einer Sicherheitsanfälligkeit nicht bewusst, es sei denn, sie werden von einem Forscher gemeldet oder als Folge eines Angriffs entdeckt.

Was sind Zero-Day-Angriffen?,

Laut Ponemon Institute waren 80% der erfolgreichen Verstöße Zero-Day-Angriffe.

Wenn schlechte Akteure in der Lage sind, erfolgreich einen Proof of Concept (PoC) oder eine tatsächliche Malware zu entwickeln und bereitzustellen, die eine Zero-Day-Sicherheitsanfälligkeit ausnutzt, wird diese PoC oder Malware zu einem Zero-Day-Angriff. Durch die Ausnutzung der Zero-Day-Sicherheitsanfälligkeit erhalten die schlechten Akteure unbefugten Zugriff auf sensible Daten und / oder kritische Systeme – dies wird als Zero-Day-Angriff angesehen.

Was ist ein Zero-Day Exploit?,

Eine zero-day-exploit ist die Technik, die schlechten Akteure nutzen, um Systeme anzugreifen, die die zero-day-Schwachstelle. Forscher verwenden Zero-Day-Exploits, um die Auswirkungen der „Ausnutzung“ des Fehlers zu demonstrieren, um unbefugten Zugriff zu erhalten oder das zugrunde liegende System zu gefährden.

Zero-Day-Exploits erhalten ihren Namen, weil sie seit null Tagen öffentlich bekannt sind. Es ist möglich, dass böswillige Akteure Zero-Day-Exploits erstellen und darauf warten, sie strategisch einzusetzen. In diesem Fall ist der Angreifer, obwohl er den Exploit kennt, immer noch nicht öffentlich bekannt und gilt immer noch als Zero-Day-Exploit.,

Die Bedrohung durch einen Zero-Day-Exploit

Zero-Day-Exploits sind sehr schwer zu verteidigen, da Daten über den Exploit im Allgemeinen nur zur Analyse verfügbar sind, nachdem der Angriff seinen Kurs abgeschlossen hat. Diese Zero-Day-Angriffe können die Form von polymorphen Würmern, Viren, Trojanern und anderer Malware annehmen.

Die effektivsten Angriffe, die den Nachweis vermeiden, sind polymorphe Würmer. Diese Malware vermeidet die Erkennung, indem sie häufig ihre identifizierbaren Eigenschaften ändert., Wenn eine Sicherheitsanfälligkeit öffentlich wird und Forscher eine Lösung entdeckt haben oder der Anbieter einen Patch bereitgestellt hat, wird sie zu einer bekannten oder „n-Day“-Sicherheitsanfälligkeit anstelle eines Zero-Day-Exploits.“

Laut Ponemon Institute waren 80% der erfolgreichen Verstöße Zero-Day-Angriffe. Darüber hinaus erwarten Organisationen, dass Zero-Day-Angriffe häufiger werden., (Quelle: Ponemon Institute, Third Annual State of Endpoint Security Report, Januar 2020)

Wenn Zero-Day-Exploits öffentlich werden-was bedeutet, dass Sicherheitsforscher ein Blog und eine Beratung veröffentlicht haben – enthält es normalerweise Informationen über die Nutzlast und die Identität der dahinter stehenden Bedrohungsakteure. Sicherheitsforscher konzentrieren sich daher auch darauf, die Methodik der Angreifer zu verstehen. Ihr Ziel ist es, Informationen zu gewinnen, die Sicherheitsteams helfen würden, verbesserte und neue Erkennungs-und Präventivmethoden zu entwickeln.,

Wie werden Zero-Day-Exploits bei einem Angriff verwendet?

Dies sind mehrere Zero-Day-Exploit-Methoden zum Starten und Ausführen eines Zero-Day-Angriffs. Beispiele für übliche Methoden sind:

• Spear-phishing mit social engineering. Diese Technik wird von Bedrohungsakteuren (normalerweise Nationalstaaten) verwendet, um ein bestimmtes, normalerweise hochrangiges einzelnes Ziel zum Öffnen einer speziell entwickelten böswilligen E-Mail zu erhalten. Diese Akteure können einige Zeit damit verbringen, das Ziel in sozialen Medien zu verfolgen und zu überwachen, bevor sie die bösartige E-Mail starten., Ziel ist es, diese Person dazu zu bringen, die E-Mail zu öffnen und dann die schädliche Nutzlast herunterzuladen.
• Spam-E-Mails und phishing. In diesem Szenario senden Angreifer E-Mails an eine sehr große Anzahl von Empfängern in mehreren Organisationen mit der Erwartung, dass ein kleiner Prozentsatz die E-Mail öffnet und auf den in die Nachricht eingebetteten Link klickt. Wenn Sie auf den Link klicken, wird die schädliche Nutzlast heruntergeladen oder der Benutzer wird zu einer Website weitergeleitet, die die Malware automatisch herunterlädt. Diese Technik wird häufig von organisierten cyberkriminellen Organisationen verwendet.,
• Einbetten von exploit-kits in malvertisements und bösartige Websites. In diesem Szenario haben schlechte Akteure erfolgreich eine Website kompromittiert und einen bösartigen Code injiziert, der einen Besucher auf den Exploit Kit-Server umleiten würde.
• Kompromittieren eines Systems, Netzwerks oder Servers. Zum Beispiel Brute-Force anwenden und dann den Exploit verwenden, um den Angriff auszuführen. MITRE bietet eine umfassendere Liste von Angriffstaktiken und-techniken, mit denen schlechte Akteure einen Zero-Day-Angriff starten und ausführen.

Was sind bekannte Beispiele für erfolgreiche Zero-Day-Angriffe?,

• Heartbleed
• Shellshock
• Stuxnet (ein Wurm, der mehrere Zero-Day-Schwachstellen ausnutzte)
• Aurora (ein organisierter Angriff, der mehrere Zero-Day-Schwachstellen ausnutzte)
• BlueKeep-Schwachstelle (CVE-2019-0708)

Was sind die besten Methoden zum Schutz vor Zero-Day-Angriffen?

Üben sichere software lebenszyklus entwicklung zu gewährleisten code sicherheit und sichere software zu minimieren potenzielle risiko oder schwachstellen.

• Haben eine solide vulnerability management programm und eine patching programm., Aktualisieren Sie beispielsweise Software SO schnell wie möglich, insbesondere kritische Sicherheitsupdates.
• Cyber Security Awareness Training konzentrierte sich auf Social Engineering, das Erkennen von Phishing – und Spear-Phishing-Kampagnen und das Vermeiden bösartiger Websites.
• Bereitstellen von mehrschichtigen Sicherheitskontrollen, einschließlich Perimeter-Firewalls, IPS/IDS und anderen Rechenzentrumssicherheitskontrollen sowie Endpunktsicherheitskontrollen.
• Anwendung von Mikrosegmentierung und geringsten Privilegien, insbesondere in hochwertigen Systemen, um es Angreifern zu erschweren und teuer zu machen, ihre Ziele zu erreichen.,
• Threat Intelligence, Überwachung und Überwachung von Benutzeraktivitäten, Konnektivität und Anomalieerkennung.
• Haben Sie einen durchdachten Disaster Recovery und Back-up-Plan.

Welche Rolle spielen Echtzeit-Sichtbarkeit und Mikrosegmentierung bei der Reaktion auf einen Zero-Day-Angriff?

Selbst wenn Software anfällig ist, kann ein schlechter Akteur seinen Exploit möglicherweise nicht unbedingt erfolgreich bereitstellen, wenn das Ziel gut gestaltete Zugriffskontrollprobleme hatte.,

• Die Echtzeitsichtbarkeit ermöglicht es Sicherheits -, IT-Ops-und Netzwerkteams, den normalen Datenverkehr und das normale Anwendungsverhalten zu modellieren und zu verstehen. Es hilft ihnen, neue Konnektivität und ungewöhnliche fehlgeschlagene Versuche, eine Verbindung zu einer Arbeitslast herzustellen, zu erkennen, was Anzeichen für einen Angriff sein kann.
• Die Mikrosegmentierung ist eine vorbeugende Kontrolle. Der Standard-Deny-Ansatz der Mikrosegmentierung reduziert die Angriffsfläche. Dies begrenzt die Angriffspfade eines Exploits und macht es für einen schlechten Akteur teurer, seinen Angriff im Netzwerk seines Ziels zu verbreiten.,
• Mikrosegmentierung als Kompensationskontrolle im Falle eines Angriffs. Wenn ein Zero-Day öffentlich bekannt gegeben wird und kein Patch verfügbar ist oder wenn Patching operativ nicht möglich ist, kann eine Organisation mithilfe der Segmentierung auf Prozessebene den Datenverkehr zwischen Workloads und zwischen Workloads und Benutzern nur für bestimmte Ports, Protokolle und Dienste sperren.

Erfahren Sie mehr

Erkunden Sie die Mikrosegmentierungsoptionen für Ihr Unternehmen und schützen Sie sich besser vor Zero-Day-Exploits. Holen Sie sich Mikrosegmentierung.