Consejos para desactivar la amenaza



El reciente error de ejecución remota de código de Atlassian Confluence es solo el último ejemplo de amenazas de día cero que tienen como objetivo vulnerabilidades críticas dentro de los principales proveedores de infraestructura. La amenaza específica, una inyección de lenguaje de navegación de gráficos de objetos (OGNL), ha existido durante años, pero adquirió un nuevo significado dado el alcance de la vulnerabilidad de Atlassian. Y los ataques de OGNL van en aumento.

Una vez que los malos actores encuentran tal vulnerabilidad, los exploits de prueba de concepto comienzan a llamar a la puerta, buscando acceso no autenticado para crear nuevas cuentas de administrador, ejecutar comandos remotos y hacerse cargo de los servidores. En el caso de Atlassian, el equipo de investigación de amenazas de Akamai identificó que la cantidad de direcciones IP únicas que intentaron estas vulnerabilidades aumentó a más de 200 en solo 24 horas.

Defenderse de estas hazañas se convierte en una carrera contrarreloj digna de una película de 007. El tiempo corre y no tiene mucho tiempo para implementar un parche y «desactivar» la amenaza antes de que sea demasiado tarde. Pero primero debe saber que se está produciendo un exploit. Eso requiere un enfoque proactivo de varias capas para la seguridad en línea basado en la confianza cero.

¿Cómo son estas capas? Considere las siguientes prácticas que los equipos de seguridad, y sus socios de infraestructura y aplicaciones internet de terceros, deben tener en cuenta.

Supervisar repositorios de vulnerabilidades

Las herramientas de análisis masivo de vulnerabilidades como el escáner basado en la comunidad de Nuclei o las pruebas de penetración de Metasploit son herramientas populares para los equipos de seguridad. También son populares entre los malos actores que buscan un código de explotación de prueba de concepto que les ayude a buscar grietas en la armadura. Supervisar estos repositorios en busca de nuevas plantillas que pueden diseñarse para identificar posibles objetivos de explotación es un paso importante para mantener el conocimiento de las amenazas potenciales y mantenerse un paso por delante de los sombreros negros.

Aproveche al máximo su WAF

Algunos pueden señalar que los firewalls de aplicaciones world-wide-web (WAF) son ineficaces contra los ataques de día cero, pero aún pueden desempeñar un papel en la mitigación de la amenaza. Además de filtrar el tráfico en busca de ataques conocidos, cuando se identifica una nueva vulnerabilidad, se puede usar un WAF para implementar rápidamente un «parche virtual», creando una regla personalizada para evitar un exploit de día cero y darle un respiro mientras trabaja. para implementar un parche permanente. Hay algunas desventajas de esto como una solución a largo plazo, lo que podría afectar el rendimiento a medida que proliferan las reglas para contrarrestar las nuevas amenazas. Pero es una capacidad que vale la pena tener en tu arsenal defensivo.

Supervisar la reputación del cliente

Al analizar los ataques, incluidos los eventos de día cero, es común verlos usando muchas de las mismas IP comprometidas, desde proxies abiertos hasta dispositivos IoT mal protegidos, para entregar sus cargas útiles. Tener una defensa de la reputación del cliente que bloquee el tráfico sospechoso que se origina en estas fuentes puede proporcionar una capa más de defensa contra los ataques de día cero. Mantener y actualizar una base de datos de reputación de clientes no es una tarea fácil, pero puede reducir drásticamente el riesgo de que un exploit obtenga acceso.

Controle sus tasas de tráfico

Las direcciones IP que lo están bombardeando con tráfico pueden ser un indicio de un ataque. Filtrar esas direcciones IP es otra forma de reducir su superficie de ataque. Si bien los atacantes inteligentes pueden distribuir sus exploits a través de muchas direcciones IP diferentes para evitar la detección, el handle de velocidad puede ayudar a filtrar los ataques que no llegan a tales extremos.

Cuidado con los bots

Los atacantes usan secuencias de comandos, suplantadores de navegador y otros subterfugios para imitar a una persona authentic y viva que inicia sesión en un sitio website. La implementación de alguna forma de defensa automatizada contra bots que se active cuando detecte un comportamiento de solicitud anómalo puede ser extremadamente valiosa para mitigar el riesgo.

No pase por alto la actividad saliente

Un escenario común para los atacantes que intentan realizar pruebas de penetración de ejecución remota de código (RCE) es enviar un comando al servidor world wide web de destino para realizar una señalización fuera de banda para realizar una llamada DNS saliente a un dominio de señalización controlado por el atacante. Si el servidor hace la llamada, bingo: encontraron una vulnerabilidad. Supervisar el tráfico saliente de los sistemas que no deberían generar ese tráfico es una forma que a menudo se pasa por alto para detectar una amenaza. Esto también puede ayudar a detectar anomalías que el WAF no detectó cuando la solicitud llegó como tráfico entrante.

Secuestrar sesiones de ataque identificadas

Los ataques de día cero no suelen ser una propuesta de «uno y listo» usted puede ser atacado repetidamente como parte de una sesión de ataque activa. Tener una forma de detectar estos ataques repetidos y secuestrarlos automáticamente no solo minimize el riesgo, sino que también puede proporcionar un registro auditable de las sesiones de ataque. Esta capacidad de «atrapar y rastrear» es realmente útil para el análisis forense.

Contener el radio de explosión

La defensa multicapa consiste en minimizar el riesgo. Pero es posible que no pueda eliminar por completo la posibilidad de que un exploit de día cero pueda filtrarse. En ese caso, tener bloques para contener la amenaza es elementary. La implementación de alguna forma de microsegmentación ayudará a prevenir el movimiento lateral, interrumpiendo la cadena de destrucción cibernética, limitando el «radio de explosión» y mitigando el impacto de un ataque.

No existe una única fórmula mágica para defenderse de los ataques de día cero. Pero la aplicación de una variedad de estrategias y tácticas defensivas de manera coordinada (e, idealmente, automatizada) puede ayudar a minimizar su superficie de amenaza. Cubrir las bases descritas aquí puede contribuir en gran medida a fortalecer sus defensas y ayudar a minimizar los simulacros de incendio que erosionan la ethical del equipo.



Enlace a la noticia initial