零日漏洞使威胁行动者能够利用安全盲点。通常,零日攻击包括识别零日漏洞、创建相关漏洞、识别易受攻击的系统并计划攻击。下一步是渗透和发射。

本文研究了最近的三个零日攻击,这些零点攻击是针对微软,Internet Explorer和Sophos的。最后,您将了解四个零点保护和预防解决方案 - NGAV,EDR,IPSec和网络访问控制。

什么是零日漏洞?

零天漏洞是关键威胁尚未公开披露或者仅被发现为攻击的结果。根据定义,供应商和用户尚未了解漏洞。术语零日源于发现威胁的时间(日零)。从这一天,一场比赛发生在安全团队和攻击者之间分别分别修补或首先利用威胁。

剖析零日攻击

当罪犯利用零天漏洞时,会发生零日攻击。零日攻击的时间表通常包括以下步骤。

  1. 识别漏洞:犯罪分子测试尚未报告的漏洞的开源代码和专有应用。攻击者也可能转向黑市,以购买有关尚未公开的漏洞的信息。
  2. 创建利用:攻击者创建一个工具包、脚本或流程,使他们能够利用已发现的漏洞。
  3. 识别脆弱的系统:一旦利用可用,攻击者就开始寻找受影响的系统。这可能涉及使用自动扫描仪、机器人或手动探测。
  4. 策划袭击:罪犯想要完成的攻击类型决定了这一步。如果攻击是有目标的,攻击者通常会进行侦察,以减少被抓住的机会,增加成功的机会。对于一般攻击,犯罪分子更有可能使用网络钓鱼活动或机器人,试图尽可能快地击中更多目标。
  5. 渗透和发射:如果一个漏洞需要首先渗透到系统中,攻击者在部署该漏洞之前会先这样做。但是,如果一个漏洞可以被利用来获得入口,那么该漏洞将被直接利用。

最近的攻击示例

有效地阻止零日攻击对任何安保团队来说都是一个巨大的挑战。这些攻击没有任何警告,可以绕过许多安全系统。特别是那些依赖于基于签名的方法的。为了帮助您提高安全性并降低风险,您可以从了解最近发生的攻击类型开始。

微软

2020年3月,微软警告道零日攻击的用户利用两个不同的漏洞。这些漏洞影响了所有支持的Windows版本,预计要到几周后才会有补丁。目前没有针对此漏洞的CVE标识符。

这些攻击针对的是Adobe Type Manager (ATM)库中的远程代码执行(RCE)漏洞。此库内置在Windows中,用于管理PostScript Type 1字体。ATM中的缺陷使攻击者能够使用恶意文档远程运行脚本。这些文件要么是通过垃圾邮件送达的,要么是被毫无戒心的用户下载的。当打开或使用Windows文件资源管理器预览时,脚本将运行,并感染用户设备。

Internet Explorer

微软的传统浏览器IE (Internet Explorer)是最近零日攻击的另一个来源。这个漏洞(cve - 2020 - 0674)由于IE脚本引擎在内存中管理对象的方式发生缺陷。它影响了IE V9-11。

攻击者可以通过欺骗用户访问专门利用该漏洞的网站来利用该漏洞。这可以通过钓鱼电子邮件或通过重定向链接和服务器请求来实现。

Sophos.

2020年4月,据报道Sophos的XG防火墙遭受了零日攻击。这些攻击试图利用SQL注入漏洞(cve - 2020 - 12271),目标是防火墙内置的PostgreSQL数据库服务器。

如果成功利用该漏洞,攻击者将能够将代码注入数据库。此代码可用于修改防火墙设置、授予系统访问权限或启用安装恶意软件。

保护和预防

要正确地防御零日攻击,您需要在现有工具和策略之上添加高级保护。以下是一些旨在帮助您检测和预防未知威胁的解决方案和实践。

下一代防病毒

下一代杀毒软件(NGAV)是对传统杀毒软件的扩展。它通过加入机器学习、行为检测和利用缓解的功能来实现这一点。这些特性使NGAV能够检测恶意软件,即使没有已知的签名或文件哈希(这是传统的AV所依赖的)。

此外,这些解决方案通常是基于云的,这使您能够独立地大规模部署工具。这有助于确保您的所有设备都受到保护,即使设备受到影响,保护仍处于活动状态。

端点检测和响应

端点检测和响应(EDR)解决方案为您的端点提供可见性、监视和自动保护。这些解决方案监控所有端点流量,并可以使用人工智能对可疑端点行为进行分类,例如,来自外部ip的频繁请求或连接。这些功能使您能够阻止任何攻击方法的威胁。

此外,EDR功能可用于跟踪和监控用户或文件。只要被跟踪的方面的行为符合正常的准则,就不会采取任何行动。然而,一旦行为发生偏差,安全团队就会收到警报。

这些能力不需要了解具体的威胁。相反,能力会利用威胁情报进行泛化比较。这使得EDR对零日攻击有效。

IP安全

IP安全(IPsec)是Internet工程任务组(ietf)使用的一组标准协议。它使团队能够应用数据身份验证措施,并验证连接点之间的完整性和机密性。它还支持加密和安全密钥管理和交换。

可以使用IPsec对所有网络流量进行身份验证和加密。这使您能够保护连接,并快速识别和响应任何非网络或可疑的流量。这些能力使您能够增加利用零日漏洞的难度,并降低攻击成功的机会。

实施网络访问控制

网络访问控制使您可以以高粒度的方式对网络进行分割。这允许您准确定义哪些用户和设备可以访问您的资产以及通过什么方式。这包括限制对这些设备和用户的访问,具有适当的安全修补程序或工具。

网络访问控制可以帮助您确保系统受到保护,而不会影响生产效率或强制完全限制外部访问。例如,托管软件作为服务(SaaS)时所需的访问类型。

这些控制对于防范零日威胁是有益的,因为它们使您能够防止网络中的横向移动。这有效地隔离了零日威胁可能造成的任何损害。

保持安全

最近的零日攻击表明,越来越多的威胁参与者在终端用户中找到了一个容易的标记。针对微软的零日攻击利用了ATM漏洞,诱使用户打开恶意软件。当威胁行动者利用Internet explorer零日漏洞时,他们诱骗用户访问恶意网站。对Sophos的零日攻击可能会授予威胁参与者用户访问权限。

然而,虽然零日攻击难以预测,但可以预防和阻止这些攻击。EDR安全性使组织能够将可见性扩展到端点,下一代杀毒软件无需依赖已知签名就能提供对恶意软件的保护。IPsec协议使组织能够对网络流量进行身份验证和加密,网络访问控制提供了拒绝恶意参与者访问的工具。不要让威胁行为者占了上风。通过利用这些工具和方法并对它们进行分层,您可以更好地保护员工、数据和组织。