Как обнаружить и предотвратить атаки нулевого дня

Опубликовано: 3 Апреля, 2023
Как обнаружить и предотвратить атаки нулевого дня

Зависимость бизнеса от технологий — палка о двух концах. Никто не может отрицать, что почти на всех рынках происходит трансформация, когда технологии становятся самым большим двигателем дифференциации и прогресса для бизнеса. С другой стороны, никто не может игнорировать потенциальный беспорядок, в который может впасть бизнес из-за сбоя в технологической установке, поддерживающей бизнес. Среди нескольких проблем кибербезопасности, с которыми приходится сталкиваться современному бизнесу, все больше и больше внимания требуют атаки нулевого дня.

Что такое атаки нулевого дня?

Атака, использующая уязвимость в программе или приложении, называется атакой нулевого дня. Это называется так, потому что у разработчиков и ответственной команды кибербезопасности нет времени на защиту своих систем, и они должны работать в режиме пожаротушения, чтобы быстро восстановить контроль. Если вы видели потрясающий фильм «Черная шляпа» или любой сезон «24», у вас будет представление о том, как это выглядит.

Борьба с угрозами атак нулевого дня

Профилактика лучше, чем лечение, и иногда добиться этого сложнее, чем вылечить. Особенно трудно подготовиться к атакам нулевого дня, потому что в большинстве случаев эксперты по безопасности даже не знают, от чего они защищают свои системы. Как бы невыполнимая задача это ни звучало, предотвращение атак нулевого дня приобрело большее значение, поскольку количество таких атак растет.

Атаки нулевого дня становятся все более изощренными. Организации сталкиваются с растущими трудностями в обнаружении таких атак, не говоря уже о их предотвращении. Частые обновления и изменения операционной системы и сетевых настроек также делают системы уязвимыми для атак нулевого дня. Как мы уже говорили, это удручающая ситуация, но именно поэтому специалисты по кибербезопасности получают высокие зарплаты — чтобы защитить корпоративные системы от этих атак.

Уроки WannaCry

Вспышка программы-вымогателя WannaCry в мае 2017 года получила широкое освещение в прессе (что неудивительно, учитывая, что глобальный ущерб от нее составил 4 миллиарда долларов). Тем не менее, большая часть прессы сосредоточилась на нагнетании страха вместо того, чтобы помочь компаниям понять, как программа-вымогатель использовала уязвимости нулевого дня, чтобы нанести ущерб, который она нанесла. Вот несколько моментов, которые помогут:

  • АНБ обнаружило уязвимость системы задолго до глобальной катастрофы, но не раскрыло ее.
  • К марту 2017 года Microsoft обнаружила уязвимость в системе EternalBlue, которая рассматривалась как потенциальная причина взлома системы Windows.
  • Чтобы восполнить пробел, Microsoft выпустила экстренные исправления безопасности.
  • Однако многие пользователи не обновили свои операционные системы и стали жертвами полномасштабной атаки программ-вымогателей.

Таким образом, уязвимость нулевого дня во многих системах позволила программам-вымогателям глубоко скомпрометировать несколько компьютеров и сетей по всему миру. Размах и влияние таких атак трудно переоценить — потенциально они могут привести к остановке экономики!

Самый важный урок, который WannaCry преподал компаниям и их ИТ-отделам, заключался в том, чтобы сосредоточиться на исправлении программного обеспечения и обновлении до последних выпусков безопасности.

Машинное обучение как долгосрочное решение

У всех моделей обнаружения угроз, основанных на статистике и сигнатурах, есть неотъемлемая проблема. Хотя эти методы хорошо работают для известных угроз безопасности, они оказываются бесполезными, когда речь идет об атаках нулевого дня. Поскольку эти традиционные методы зависят от баз данных известных угроз, их возможности оказываются очень ограниченными, когда речь идет о борьбе с изменениями в методологиях атак.

Здесь на помощь приходят системы обнаружения, основанные на поведении. Вместо того, чтобы просто сосредоточиться на базе данных угроз, эти системы оценивают программы и пытаются предвидеть, действительно ли их действия преднамеренны или связаны с преднамеренным изменением функции. Со временем эти системы становятся доступными для всего профиля операций программ и могут выдавать предупреждения при обнаружении подозрительных попыток доступа к данным.

На данный момент предприятия работают над внедрением гибридных моделей, которые используют преимущества алгоритмических моделей на основе баз данных и машинного обучения. Как только такая система стабилизируется, необходимо блокировать слабые конечные точки в пользовательских системах и программном обеспечении, отслеживать необычное поведение программ и добавлять в базу данных известные и проверенные программные операции.

Разверните группу реагирования на инциденты, обученную противодействию атакам нулевого дня.

Независимо от того, какие меры безопасности вы применяете, нельзя исключать угрозы атак нулевого дня. Так что лучше быть готовым к тому, что такая атака бросит вам вызов. Вроде как Астрос были готовы к Доджерс в Мировой серии, но это уже другая тема.

  • Разделите обязанности, чтобы члены группы реагирования знали, что им нужно делать в случае возникновения хаоса.
  • Установите надежные средства связи, вовлекая только соответствующих людей, чтобы предотвратить распространение паники, не ставя под угрозу поток информации.
  • Имитация учений — отличный способ поддерживать работу механизма группы реагирования на инциденты в исправном состоянии. Вам не нужно утомлять людей и утомлять их до смерти, но вам нужно тренироваться и иметь планы на случай непредвиденных обстоятельств, когда угроза объявляет о себе.
  • Инвестируйте в обучение команды, чтобы они могли использовать новейшие инструменты и технологии для ограничения воздействия атак нулевого дня и обеспечения непрерывности бизнеса в процессе. Apple сделала это на рубеже веков, когда они перешли на чипы Intel — их бизнес продолжал работать, пока они перешли на Intel. Даже Билл Гейтс был впечатлен этим!

Другие меры, которые вы можете предпринять

Помимо того, что мы рассмотрели выше, вот некоторые другие меры, которые помогут вам предотвратить атаки нулевого дня.

  • Никогда, повторяем, никогда не устанавливайте ненужное программное обеспечение на свои компьютерные системы. Каждая компьютерная программа является потенциальным источником уязвимостей нулевого дня. Это мудрая практика — просмотреть список программного обеспечения, используемого в ваших корпоративных системах, и удалить те, которые не нужны.
  • Доверьте людям ответственность за обновление всего используемого программного обеспечения.
  • Хотя очень сложно предотвратить атаку, использующую неизвестную уязвимость в ваших приложениях, возможно и практично развернуть брандмауэры, которые сообщают о любых несанкционированных и подозрительных попытках доступа к корпоративным данным и блокируют их.

Управляйте хаосом

По оценкам, к 2022 году распространение атак нулевого дня будет настолько огромным, что эксперты по кибербезопасности будут сталкиваться с проблемой ежедневного решения этих проблем. Чтобы быть в состоянии контролировать хаос, жизненно важно, чтобы предприятия продолжали прилагать усилия для внедрения надежных средств оперативного контроля и выполнения тщательных и периодических проверок безопасности для выявления пробелов и их устранения.

Кибер-безопасность

РЕКОМЕНДУЕМЫЕ СТАТЬИ

Информационная безопасность и системная IT-интеграция
27 Июня, 2024
Брандмауэр в ИТ-системе
15 Апреля, 2023
Почему одного брандмауэра недостаточно? Что такое IDS и почему их стоит иметь?
15 Апреля, 2023
Новые функции безопасности Internet Explorer 6.0 с браузером .NET Server по умолчанию
15 Апреля, 2023
Виртуальная частная сеть
15 Апреля, 2023
Microsoft ISA Server, часть II — функции брандмауэра, правила политики публикации
15 Апреля, 2023
Стратегия Microsoft в отношении .NET
15 Апреля, 2023
SSH
15 Апреля, 2023