Co to jest zero-day i jak chronić się przed takimi atakami?

Termin ataki zero-day odnosi się do cyberataku, który wykorzystuje nowo odkrytą lukę w zabezpieczeniach, która nie została jeszcze rozpoznana przez tradycyjne rozwiązania bezpieczeństwa. Punkt słabości, na który skierowany jest atak, nazywany jest zero-day vulnerability, a sam atak jest exploitem zero-day exploit.

Atak zero day oznacza, że „pozostało zero dni” na zajęcie się zagrożeniem – hakerzy wykorzystują lukę, zanim odkryją ją programiści. W ostatnich latach złośliwe exploity zero-day stanowiło dwie trzecie wszystkich zagrożeń, co czyni je bardzo poważnym i znaczącym ryzykiem dla bezpieczeństwa organizacji. Dlatego w tym artykule skupimy się na tym, w jaki sposób zapewnić sobie ochronę przed explotami zero-day.

Czym jest atak zero-day?

Exploit zero-day może przybierać wiele różnych form, a każda istniejąca luka w oprogramowaniu może być wykorzystana do przeprowadzenia ataków zero-day. Należą do nich:

• Nieskontrolowane dane wejściowe lub wstrzyknięcie SQL – dane logowania i poufne dane można wydobyć z bazy danych, wprowadzając polecenia SQL wraz ze szczegółami logowania na stronie internetowej.
• Brak odpowiedniego szyfrowania danych – oprogramowanie szpiegujące może przechwytywać dane w trakcie ich wysyłania
• Zepsuty kod, ogólne błędy lub dziwactwa w oprogramowaniu – mogą one zostać wykorzystane do uruchomienia złośliwego oprogramowania.
• Słabe zabezpieczenie hasła – jeśli używane jest domyślne lub słabo zabezpieczone hasło, może ono zostać złamane w ataku siłowym.
• Brak autoryzacji – witryna internetowa może nie sprawdzać prawidłowych tokenów lub danych uwierzytelniających tam, gdzie powinna.

Przykłady ataków typu zero-day

Podobnie jak w przypadku exploitów zero-day, każda forma cyberataku, która jest nowa i nierozpoznana, nazywana jest atakiem zero day. Duża część cyberprzestępczości jest przeprowadzana przez malware, co odnosi się do wszelkiego rodzaju złośliwego oprogramowania. Typowe zagrożenia obejmują:

• Oprogramowanie typu ransomware – szyfruje dane na urządzeniu użytkownika i żąda okupu za klucz umożliwiający ich odszyfrowanie.
• Oprogramowanie szpiegujące – oprogramowanie szpiegujące gromadzi poufne dane i wysyła je z powrotem do atakującego, aby wykorzystać je przeciwko niemu lub sprzedać osobie trzeciej.
• Scareware – to złośliwe oprogramowanie jest mniej wyrafinowane od prawdziwego ransomware, ponieważ jedynie udaje, że ukradło dane lub jest w stanie je zniszczyć, próbując w ten sposób zastraszyć użytkownika i zmusić go do spełnienia jego żądań.
• Atak typu Distributed Denial of Service (DDoS) – sieć lub strona internetowa zostaje zalana ruchem, co uniemożliwia korzystanie z niej.
• Wiper – ten typ złośliwego oprogramowania próbuje wyczyścić dysk twardy ofiary.

Główne cele ataków typu zero-day

Ataki typu zero-day mogą mieć na celu dowolne z poniższych celów, aby zmaksymalizować szkody:

• Przeglądarki internetowe – ze względu na ich niezwykle powszechne wykorzystanie, każda możliwa do wykorzystania słabość w przeglądarce internetowej zwiększa szanse hakera na przeprowadzenie skutecznego ataku.
• Popularne oprogramowanie – popularne oprogramowanie, które ma bardzo dużą bazę użytkowników, jest równie przydatne w przeprowadzaniu udanych ataków.
• Duże firmy – celowanie w dużą firmę z dużymi funduszami jest potencjalnie bardziej lukratywne, a bazy danych będą zawierać więcej informacji o klientach. Usługi finansowe są szczególnie interesujące.
• Oddziały rządowe – jeśli celem jest jedynie wyrządzenie szkód, naruszenie bezpieczeństwa systemu będącego własnością rządu może mieć ogromne konsekwencje i wywołać chaos.

Wyzwania związane z ochroną przed atakami typu zero-day

Tradycyjna ochrona antymalware opiera się na rozpoznawaniu zagrożeń. Takie rozwiązania opierają się na bazach danych, które są często aktualizowane o znane wirusy i złośliwe oprogramowanie, dzięki czemu w momencie rozpoczęcia ataku można je zidentyfikować i wyłączyć. Złośliwe oprogramowanie typu zero-day jest z natury nieznane, nie pojawia się w żadnych bazach danych, więc nie można go w ogóle zidentyfikować. To sprawia, że obrona przed atakami typu zero-day jest zaskakująco trudna.

Hakerzy i cyberprzestępcy szukają luk w oprogramowaniu. Osoba aktywnie poszukująca możliwości wykorzystania luk jest znacznie bardziej skłonna odkryć krytyczną słabość niż sami programiści. Często może to skutkować opracowaniem i wdrożeniem ataku, zanim programiści zdadzą sobie sprawę z problemu.

Okno na ataki typu zero-day nie jest zamknięte, gdy programiści dowiedzą się o podatności. Udane ataki mogą być przeprowadzane podczas opracowywania poprawki i w systemach, które nie są łatane natychmiast.

Obrona przed atakami typu zero-day

Ochrona przed zero-day jest trudna, ponieważ to zagrożenie z definicji wyprzedza działania ekspertów do spraw cyberochrony. Ważne jest, aby wiedzieć, jak zapobiegać atakom zero-day – istnieją strategie, które możesz zastosować, aby zachować bezpieczeństwo i zmniejszyć ryzyko stania się ofiarą exploita zero-day:

• Regularnie aktualizuj system – łatka bezpieczeństwa jest skuteczna tylko wtedy, gdy ją zainstalujesz. Zmniejsz okno możliwości hakera, instalując łatki do oprogramowania, gdy tylko zostaną wydane.
• Bądź na bieżąco – czasami nieznane zagrożenie jest odkrywane i publikowane przez użytkowników, zanim aplikacje miały szansę zająć się swoimi lukami. Skorzystaj z tego i bądź na bieżąco z najnowszymi zagrożeniami.
• Wiele warstw zabezpieczeń z rozwiązaniami zero trust – nawet nieodkryte zagrożenia zero day można udaremnić, stosując więcej niż jedną linię obrony, zwłaszcza gdy obejmuje to rozwiązania zapobiegawcze zero trust, które traktują cały kod jako złośliwy, zamiast polegać na bazie danych znanego złośliwego oprogramowania. Poleganie na zaporze aplikacji internetowych (WAF) wcale nie jest niezawodne, jeśli chodzi o najnowsze zagrożenia.
• Uwierzytelnianie wieloskładnikowe – korzystanie z rozwiązania IAM, które obejmuje co najmniej dwie formy uwierzytelniania, takie jak hasło i dane biometryczne, może mieć duże znaczenie. Statystyki pokazują, że 81% naruszeń bezpieczeństwa ma miejsce z powodu słabych lub skradzionych haseł – upewnij się, że Twoja organizacja ma ścisłe zasady dotyczące haseł i MFA, aby zapobiec nieoczekiwanym atakom typu zero day, a nawet jeśli taki wystąpi, atakujący będzie miał trudności z rozprzestrzenianiem się w sieci.
• Ochrona antywirusowa typu zero-day – ze względu na pojawienie się nowych rodzajów ataków oprogramowanie antywirusowe musiało dostosować się, aby zapewnić lepszą ochronę. Wirusów typu zero-day nie można wyszukać w bazie danych wirusów, ale nadal istnieją sposoby ich rozpoznawania. Większość wirusów ma wspólne formy zachowań i można je wykryć dzięki nim, a wiele nowych wirusów jest zbudowanych na istniejącym złośliwym oprogramowaniu. Przesiewanie tych znanych zachowań może wykryć nawet wcześniej nieznane ataki. Przykładem antywirusa, który ma taką funkcjonalność, jest Bitdefender Premium Security.

Jednak te metody mają pewne wady. Poszukiwanie typowego zachowania malware nie jest niezawodne, ponieważ nowsze lub lepiej zamaskowane ataki mogą umknąć niezauważone. Fałszywe alarmy są również możliwe – legalne programy, które wykazują podobieństwa do malware w swoim kodzie lub zachowaniu, zostaną błędnie oznaczone jako szkodliwe.

Izolacja przeglądarki – aby wyeliminować zagrożenie atakami internetowymi, aktywny kod przeglądarki można odizolować od komputera i sieci użytkownika za pomocą rozwiązania izolacji przeglądarki. Maszyna wirtualna lub kontener są używane do renderowania treści z sieci, więc żaden kod, złośliwy lub inny, nie może uzyskać dostępu do punktu końcowego – żadne dane nie mogą zostać uszkodzone ani skradzione, a nic nie może zostać zainstalowane ani uruchomione. Można to zrobić jako usługę opartą na chmurze – w Remote Browser Isolation, doświadczenie użytkownika w surfowaniu po Internecie jest dostarczane z kontenera w chmurze, co oddziela komputer klienta od potencjalnych zagrożeń.

W przypadku wszelkiego rodzaju ataków typu zero-day niezwykle istotne jest opracowanie strategii bezpieczeństwa organizacji, która będzie opierać się na zapobiegawczym podejściu opartym na zasadzie zerowego zaufania, edukacji i silnych zasadach dotyczących haseł, które pomogą w walce z najnowszymi zagrożeniami typu zero-day.