Hvorfor angripere utnytte flere zero-day angrep og hvordan du respond


Mer om malware
Motstå kredittkortopplysninger kompromiss trusler på grunn av minne-skraping malware. Hva gjør Stuxnet-ormen bety for SCADA-systemer sikkerhet? Lær hvordan du oppretter et selskap mobiltelefon politikk for å bekjempe mobiltelefon malware.

Stuxnet er lik de Operation Aurora angrep fra desember 2009 og den Zeus botnet i at det viser cutting-edge teknikker i måten malware blir opprettet. Imidlertid er Stuxnet mer sofistikert, først og fremst fordi det utnytter flere zero-day sårbarheter på en gang. Mens det er alltid vanskelig å spå fremtiden for malware, er det trygt å si at dette ikke vil være det siste angrepet som benytter flere zero-day exploits samtidig. I dette tipset, vil vi diskutere denne taktikken i sammenheng med Stuxnet, og forklare hvordan bedrifter kan avverge lignende bragder i fremtiden.

Gjeldende tilstand av Stuxnet
Stuxnet er en av de de fleste avanserte stykker av malware i naturen i dag på grunn av alle de forskjellige ondsinnede funksjonalitet det inneholder. Det utnyttet fire zero-day sårbarheter, inkludert en utnyttes eksternt sårbarhet i Windows utskriftskøen, og en annen som mulig lokal rettighetseskalering. Mens at det går en null-dag feil har blitt vanlig, forsøker å kompromittere flere zero-day angrepsvektorer gjør det mer sannsynlig at en angriper vil lykkes trenge et system. Mens det er sant at for hver zero-day, kan det være beskyttelse på plass for å stoppe en utnytte, eller systemet kan ikke kjøre en sårbar versjon av programvaren (for eksempel hvis de malware angrep en 64-bits versjon av Windows men er ment å utnytte en 32-bits versjon, eller målet systemet bruker en alternativ PDF-leser i stedet for Adobe Reader), når malware inkluderer multiple null dager, er sjansen stor for at en av disse angrepsvektorer ikke vil være tilstrekkelig beskyttet.

Malware som er rettet mot zero-day feil er ikke så vanlig som malware som angriper eldre, mer kjent sårbarheter som ikke har blitt lappet, eller malware som utnytter grunnleggende dårlige sikkerhetsrutiner, men malware som angriper flere zero-day feil tendens til å bli enda mindre vanlig.

Mens målretter flere zero-day feil kan øke sjansene for en angriper klarer å ta over et system, er ikke avhengig av antall hvor mye skade angriperen kan gjøre en gang inne zero day sårbarheter den forsøker å utnytte. Skadeomfanget avhenger av hva slags tilgang de angriper får som følge av utnytte, og om han eller hun er i stand til å ta helt over systemet. Hvis malware er i stand til å ta over systemet, spiller det ingen rolle hvor mange null dager ble brukt, siden det tar bare én sårbarhet kan invadere et system. Når angriperen har tatt kontroll over systemet, kan han eller hun deretter siphon av data, bruke systemet til å angripe andre systemer, eller noe annet systemet ble opprinnelig programmert til å gjøre.

En god ting om malware som mål multiple null dager er avhengig av hvor malware fungerer, kan flere angrepsvektorer potensielt øke oddsen for påvisning sin. Hvis flere mislykkede exploits er pålogget, kan dette trekke mer oppmerksomhet, siden dette sannsynligvis er en sjelden hendelse. Angripere måtte veie odds: De er mer sannsynlig å trenge inn i systemet ved hjelp av multippel null dager, men de er også mer sannsynlig å bli oppdaget

Zero-day angrep. Hvem er sårbar ?
Gitt hvor mye diskusjon rundt Stuxnet, kan det virke som et betydelig antall systemer har blitt infisert. Mens 100.000 systemer smittede er ikke ubetydelig, er det et lite antall i forhold til de mer enn 1 million systemer infisert med Renos malware. Men mens antallet infiserte systemer kan være liten, er antall systemer sårbare for malware som utnytter flere zero-day feil enorme (forutsatt at zero-day angrep målrette ulike biter av programvare på en datamaskin).


Lytt til dette tipset som en mp3
Lytt til hvorfor angripere utnytte flere zero-day angrep og hvordan de skal reagere i en mp3-format.

Interessant nok, organisasjoner som bør være mest bekymret for flere zero-day angrep er vanligvis de som har blokkert andre vanlige angrepsvektorer; Angriperne er mer sannsynlig å ty til zero-day angrep dersom mer tradisjonelle teknikker er ineffektive. Organisasjonene som ikke har blokkert de vanligste angrepsvektorer kan også bli angrepet av flere zero-day exploits, men de har sikkert allerede blitt kompromittert av felles malware.

For å finne ut om din organisasjon er spesielt sårbare for slike angrep, vurdere nøye sikkerhets beskyttelse på plass og finne ut om alle disse beskyttelsene kan bli forbigått av nyere zero-day exploits brukt. Alle slike evalueringer vil være bedriftsspesifikke, siden de vil være avhengig av de beskyttelsene på plass på dine systemer.

Fremveksten av malware bruker flere null dager er noe som sikkerhetsbevisste organisasjoner bør være klar over og vurdere ved vurdering sine systemer og nettverk. Hvis system beskyttelser lapper tungt og alle mislykkes på samme måte, med flere lag av beskyttelse installert mange som faktisk ikke gir betydelig ekstra sikkerhet og kan faktisk øke angrepsflaten av systemer og gjøre dem vanskeligere å håndtere.

Enterprise forsvarsstrategi mot flere zero-day angrep
Prøver å forsvare seg mot flere null-dager eller målrettede angrep krever mer enn standard anbefalinger for å bruke antimalware programvare, holde patcher strøm og ved hjelp av en vertsbasert brannmur. Mange organisasjoner bør vurdere å utplassere ytre brannmurer, nettverksbasert antimalware deteksjon og blokkering, og inntrengningsdeteksjon for å prøve å bekjempe alle angrep. Mens flere lag med sikkerhet kan bidra til å beskytte hvis ett lag svikter, de ekstra lag kan ikke virkelig gi nok forsvars i dybden.

For eksempel, hvis organisasjonen bruker samme antimalware motor på sine PCer, servere , e-postsystemer og nettverksbasert antimalware apparater, den single point of avhengighet av disse antimalware motor påvisninger kan ikke gi betydelig mer dekning enn bare å kjøre antimalware programvare på skrivebordene. Hvis ikke alle stasjonære har antimalware programvare installert, eller potensielt har problemer med riktig drift av antimalware-motor, kan flere lag som bruker samme oppdagelse motoren gir ytterligere dekning. Potensielt kjører andre eller tilleggs antimalware motorer på servere, e-postsystemer og nettverksbaserte antimalware apparater kan legge til ekstra zero-day beskyttelse eller malware-deteksjon dekning.

Hvis din bedrift er opptatt av disse typer angrep, noen ekstra tiltak kan iverksettes for å hindre eller begrense sitt potensial effektiviteten ved å sikre USB-tilkoblinger; Hvis USB-tilkoblinger ikke er nødvendig, bør de være deaktivert for å sikre USB-enheter ikke brukes i forbindelse med en usikker funksjonalitet konfigurasjon eller autorun å angripe systemet. Etter deaktivere USB-enheter, låse ned andre innstillinger fysisk sikkerhet, for eksempel systemets BIOS. Også, bare slik programvare signert med et gyldig sertifikat - i forbindelse med søknaden hvitlisting - kunne hindre ondsinnet kode fra å kjøre på systemet. Microsofts Enhanced Mitigation Experience Toolkit (EMET), som tilbyr et ekstra sett med malware beskyttelse tilgjengelig fra Microsoft, kan hindre programvare fra å bli utnyttet. Bedrifter bør også vurdere å ikke koble virksomhetskritiske systemer til generell nettverk eller internett når det er mulig.

Konklusjoner
Stuxnet er bare ett av flere stykker av malware innlemme avansert funksjonalitet og utnytte multiple null -Day feil. Historisk, malware og angripere har gjort det nødvendige minimum for å trenge systemer, men som forsvar bedre, så må angripere. Stuxnet - og fremtiden malware som trolig vil benytte flere zero-day exploits - demonstrerer behovet for bedrifter til å nøye vurdere den beskyttelse de har på plass for å se om og hvordan disse beskyttelsene kan brukes til å stoppe slike angrep. Angrep ved hjelp av multippel null-dager vil bli mer vanlig som rammer for bunting angrep i malware legge til funksjonalitet og som det blir lettere å inkludere nye angrep i at skadelig programvare.