Термин «нулевой день» используется, когда группы безопасности не знают об уязвимости своего программного обеспечения, и у них было «0» дней для работы над исправлением безопасности или обновлением для устранения проблемы. «Нулевой день» обычно ассоциируется с терминами «Уязвимость», «Эксплойт» и «Угроза». Важно понимать разницу:
Уязвимость нулевого дня - это неизвестная уязвимость системы безопасности или дефект программного обеспечения, на который злоумышленник может нацелиться с помощью вредоносного кода.
Эксплойт нулевого дня - это метод или тактика, которую злоумышленник выбирает для использования уязвимости для атаки на систему.
Атака нулевого дня происходит, когда хакер выпускает вредоносное ПО для использования уязвимости в программном обеспечении до того, как разработчик программного обеспечения исправит уязвимость.
Атаки нулевого дня чрезвычайно опасны для облачных приложений, поскольку они неизвестны и их очень трудно обнаружить, что делает их серьезной угрозой безопасности. Это как вор, прокрадывающийся через черный ход, который был случайно оставлен незапертым.
Примеры эксплойта нулевого дня
Ниже приведены лишь несколько известных эксплойтов, которые были обнаружены за последние несколько лет:
Атака Kaseya
В пятницу, 2 июля, операторам программы-вымогателя REvil удалось скомпрометировать программное обеспечение Kaseya VSA, используемое для мониторинга и управления инфраструктурой клиента Kaseya. Согласно публичному заявлению Kaseya, операторы программы-вымогателя REvil использовали эксплойты нулевого дня для доставки вредоносного обновления, скомпрометировавшего около 60 клиентов Kaseya и 1500 нижестоящих компаний.
Эксплойт SonicWall
4 февраля группа реагирования на инциденты безопасности продуктов SonicWall (PSIRT) объявила о новом эксплойте нулевого дня, CVE-2021-20016, который затрагивает ее устройства SMA (Secure Mobile Access). В документации SonicWall заявил, что эта новая уязвимость затрагивает продукты серии SMA 100, и для версий с прошивкой 10.x требуются обновления. SonicWall не сообщил, влияет ли этот новейший эксплойт на какие-либо старые устройства SRA, которые все еще находятся в производственных средах, и если да, то каким образом.
Реле диспетчера очереди печати MSRPC (CVE-2021-1678)
Во вторник, 12 января, Microsoft выпустила исправление для CVE-2021-1678 — важной уязвимости, обнаруженной исследователями безопасности. Этот эксплойт позволяет злоумышленнику ретранслировать сеансы проверки подлинности NTLM на атакуемую машину и использовать интерфейс MSRPC диспетчера очереди печати для удаленного выполнения кода на атакуемой машине.
Эксплойт Zerologon
11 августа Microsoft выпустила обновление для системы безопасности, включающее исправление критической уязвимости в протоколе NETLOGON (CVE-2020-1472), обнаруженной исследователями по безопасности. Поскольку никаких первоначальных технических подробностей не было опубликовано, CVE в обновлении безопасности не привлекла особого внимания, хотя максимальная оценка CVSS составила 10.
Этот эксплойт позволяет злоумышленнику, не прошедшему проверку подлинности, имеющему сетевой доступ к контроллеру домена, установить уязвимый сеанс Netlogon и в конечном итоге получить права администратора домена. Уязвимость особенно серьезна, поскольку единственным требованием для успешного эксплойта является возможность установить соединение с контроллером домена.
Эксплойт NTLM
Во вторник исправлений Microsoft выпустила исправления для CVE-2019-1040 и CVE-2019-1019, двух уязвимостей, обнаруженных исследователями по безопасности. Критические уязвимости состоят из трех логических недостатков в NTLM (проприетарный протокол аутентификации Microsoft). Исследователям удалось обойти все основные механизмы защиты NTLM.
Эти уязвимости позволяют злоумышленникам удаленно запускать вредоносный код на любом компьютере с Windows или проходить аутентификацию на любом HTTP-сервере, поддерживающем встроенную аутентификацию Windows (WIA), таком как Exchange или ADFS. Все версии Windows, в которых не применялся этот патч, уязвимы.
Stuxnet
Одной из самых известных атак нулевого дня является Stuxnet, червь, который, как считается, нанес значительный ущерб ядерной программе Ирана. Этот червь использовал четыре различные уязвимости нулевого дня в операционной системе Microsoft Windows.
Защита от атак нулевого дня
Вот лучшие способы защиты от атак нулевого дня:
Управление исправлениями
Управление исправлениями — это процесс идентификации и развертывания обновлений программного обеспечения или «исправлений» на различных конечных точках, включая компьютеры, мобильные устройства и серверы.
Патч — это конкретное изменение или набор обновлений, предоставляемых разработчиками программного обеспечения для исправления известных уязвимостей системы безопасности или технических проблем. Патчи также могут включать в себя добавление новых возможностей и функций в приложение.
Важно отметить, что исправления обычно представляют собой краткосрочные решения, предназначенные для использования до следующего полного выпуска программного обеспечения. Эффективный процесс управления исправлениями будет учитывать следующие элементы:
- Просмотр выпусков исправлений безопасности
- Приоритизация усилий по исправлению в зависимости от серьезности уязвимости
- Тестирование совместимости исправлений и установка нескольких исправлений на всех затронутых конечных точках
Своевременная и эффективная стратегия управления исправлениями чрезвычайно важна для сетевой безопасности, поскольку выпуски исправлений основаны на известных уязвимостях. Таким образом, риск использования устаревшего программного обеспечения становится еще выше, поскольку злоумышленники могут легче выявлять и использовать слабые места в системах.
Управление уязвимостями
Управление уязвимостями — это непрерывный регулярный процесс выявления, оценки, составления отчетов, управления и устранения киберуязвимостей в конечных точках, рабочих нагрузках и системах. Как правило, группа безопасности использует инструмент управления уязвимостями для обнаружения уязвимостей и использует различные процессы для их исправления.
Надежная программа управления уязвимостями использует информацию об угрозах и знания об ИТ и бизнес-операциях, чтобы определять приоритеты рисков и устранять уязвимости как можно быстрее.
Используйте брандмауэр веб-приложений (WAF)
Брандмауэр веб-приложений (WAF) — это устройство безопасности, предназначенное для защиты организаций на уровне приложений путем фильтрации, мониторинга и анализа трафика протокола передачи гипертекста (HTTP) и безопасного протокола передачи гипертекста (HTTPS) между веб-приложением и Интернетом.
WAF действует как обратный прокси-сервер, защищая приложение от вредоносных запросов до того, как они достигнут пользователя или веб-приложения. Являясь частью комплексной стратегии кибербезопасности, WAF помогает защитить организацию от различных атак прикладного уровня, помимо атак нулевого дня, включая межсайтовый скриптинг (XSS), внедрение SQL, отказ в обслуживании (DoS) или распределенный отказ в обслуживании (DDoS).
Возможные решения для устранения уязвимостей нулевого дня
Для эффективного обнаружения и смягчения атак нулевого дня необходима скоординированная защита, включающая как технологию предотвращения, так и тщательный план реагирования в случае атаки.
Организации могут подготовиться к этим скрытым и разрушительным событиям, развернув комплексное решение для защиты конечных точек, которое сочетает в себе такие технологии, как антивирус нового поколения (NGAV), обнаружение и реагирование на конечных точках (EDR) и аналитику угроз.
Чтобы оптимизировать защиту, организации должны внедрить наилучшие технологии предотвращения в момент атаки, а также иметь план на случай наихудших сценариев. Затем, если злоумышленнику удастся проникнуть в сеть, команда безопасности будет располагать инструментами, процессами и технологиями для смягчения последствий до того, как будет нанесен реальный ущерб.
Решения по обеспечению безопасности используют единую платформу управления и упрощенный агент, чтобы предоставить организациям доступ к информации об оценке уязвимостей. Датчик предоставляет результаты в режиме реального времени в защищенных системах Windows, Linux и Mac без затрат времени, эффективного сканирования системы или требований к сетевому оборудованию.
Важно отметить, что не только вредоносное ПО и вирусы влияют на работу сайта, а и многие другие факторы. Но, какова бы ни была причина, по которой страница сайта не открывается, например проблемы с базой данных или сервером, DDoS-атаки или вирусы, важно контролировать доступность сайта для посетителя. Ситуация, при которой пользователь не может открыть страницу вашего сайта, отрицательно влияет на поднятие сайта в поиске (поисковой выдаче) и оставляет негативное впечатление о вашем сайте у посетителя. Вы теряете потенциальных клиентов, а значит и деньги. Используйте хороший сервис, например BAILRY для постоянного контроля (проверки) доступности сайта. Сервис предоставляет как бесплатную регулярную (периодическую) проверку доступности сайта, так и платную услугу - для постоянного контроля доступности сайта.
Компания Mainton - разработка и тестирование программного обеспечения под заказ, SEO и реклама в интернете с 2004 года.