0
0
O recente bug de execução remota de código do Atlassian Confluence é apenas o exemplo mais recente de ameaças de dia zero visando vulnerabilidades críticas nos principais provedores de infraestrutura. A ameaça específica, uma injeção de linguagem de navegação de gráfico de objetos (OGNL), existe há anos, mas assumiu um novo significado devido ao escopo da exploração do Atlassian. E os ataques OGNL estão aumentando.
Uma vez que os maus atores encontram tal vulnerabilidade, explorações de prova de conceito começam a bater na porta, buscando acesso não autenticado para criar novas contas de administrador, executar comandos remotos e assumir servidores. No caso da Atlassian, a equipe de pesquisa de ameaças da Akamai identificou que o número de endereços IP únicos que tentavam essas explorações cresceu para mais de 200 em apenas 24 horas.
Defender-se dessas façanhas torna-se uma corrida contra o tempo digna de um filme de 007. O relógio está correndo e você não tem muito tempo para implementar um patch e “desarmar” a ameaça antes que seja tarde demais. Mas primeiro você precisa saber que uma exploração está em andamento. Isso requer uma abordagem proativa e multicamadas para a segurança online com base na confiança zero.
Como são essas camadas? Considere as seguintes práticas que as equipes de segurança — e seus parceiros de infraestrutura e aplicativos Web de terceiros — devem estar cientes.
Monitorar repositórios de vulnerabilidade
Ferramentas de varredura de vulnerabilidade em massa, como o scanner baseado na comunidade da Nuclei ou o teste de penetração Metasploit , são ferramentas populares para equipes de segurança. Eles também são populares entre os maus atores que procuram código de exploração de prova de conceito que os ajude a investigar rachaduras na armadura. Monitorar esses repositórios em busca de novos modelos que podem ser projetados para identificar possíveis alvos de exploração é um passo importante para manter o conhecimento de possíveis ameaças e ficar um passo à frente dos chapéus pretos.
Aproveite ao máximo seu WAF
Alguns podem apontar os firewalls de aplicativos da Web (WAFs) como ineficazes contra ataques de dia zero, mas eles ainda podem desempenhar um papel na mitigação da ameaça. Além de filtrar o tráfego para ataques conhecidos, quando uma nova vulnerabilidade é identificada, um WAF pode ser usado para implementar rapidamente um “patch virtual”, criando uma regra personalizada para evitar uma exploração de dia zero e dar a você algum espaço para respirar enquanto você trabalha para implementar um patch permanente. Existem algumas desvantagens para isso como uma solução de longo prazo, afetando potencialmente o desempenho à medida que as regras proliferam para combater novas ameaças. Mas é uma capacidade que vale a pena ter em seu arsenal defensivo.
Monitore a reputação do cliente
Ao analisar ataques, incluindo eventos de dia zero, é comum vê-los usando muitos dos mesmos IPs comprometidos – de proxies abertos a dispositivos IoT mal protegidos – para entregar suas cargas úteis. Ter uma defesa de reputação do cliente que bloqueia o tráfego suspeito originário dessas fontes pode fornecer mais uma camada de defesa contra ataques de dia zero. Manter e atualizar um banco de dados de reputação do cliente não é uma tarefa pequena, mas pode reduzir drasticamente o risco de um exploit obter acesso.
Controle suas taxas de tráfego
IPs que estão sobrecarregando você com tráfego podem ser uma dica para um ataque. Filtrar esses IPs é outra maneira de reduzir sua superfície de ataque. Embora invasores inteligentes possam distribuir suas explorações em vários IPs diferentes para evitar a detecção, o controle de taxa pode ajudar a filtrar ataques que não chegam a esse ponto.
Cuidado com os bots
Os invasores usam scripts, imitadores de navegador e outros subterfúgios para imitar uma pessoa real e ao vivo fazendo login em um site. A implementação de alguma forma de defesa automatizada de bots que é acionada quando detecta um comportamento de solicitação anômalo pode ser extremamente valiosa para mitigar o risco.
Não negligencie a atividade de saída
Um cenário comum para invasores que tentam realizar testes de penetração de execução remota de código (RCE) é enviar um comando ao servidor Web de destino para realizar sinalização fora de banda para fazer uma chamada DNS de saída para um domínio de sinalização controlado pelo invasor. Se o servidor fizer a chamada, bingo — eles encontraram uma vulnerabilidade. Monitorar o tráfego de saída de sistemas que não deveriam estar gerando esse tráfego é uma maneira muitas vezes esquecida de detectar uma ameaça. Isso também pode ajudar a identificar quaisquer anomalias que o WAF perdeu quando a solicitação veio como tráfego de entrada.
Sequestrar Sessões de Ataque Identificadas
Ataques de dia zero geralmente não são uma proposição “um e pronto”; você pode ser alvo repetidamente como parte de uma sessão de ataque ativa. Ter uma maneira de detectar esses ataques repetidos e sequestrá-los automaticamente não apenas reduz o risco, mas também pode fornecer um log auditável das sessões de ataque. Esse recurso de “capturar e rastrear” é realmente útil para análise forense.
Contenha o raio de explosão
A defesa em várias camadas consiste em minimizar o risco. Mas você pode não ser capaz de eliminar completamente a chance de que uma exploração de dia zero possa escapar. Nesse caso, ter blocos para conter a ameaça é fundamental. A implementação de alguma forma de microssegmentação ajudará a evitar o movimento lateral, interrompendo a cadeia de morte cibernética, limitando o “raio da explosão” e mitigando o impacto de um ataque.
Não existe uma fórmula mágica única para se defender contra ataques de dia zero. Mas aplicar uma variedade de estratégias e táticas defensivas de maneira coordenada (e, idealmente, automatizada) pode ajudar a minimizar sua superfície de ameaça. Cobrir as bases descritas aqui pode ajudar bastante a fortalecer suas defesas e ajudar a minimizar os exercícios de tiro que corroem o moral da equipe.
FONTE: DARK READING