Czym różnią się luki od ataków zero-day?
Luka typu zero-day to wada oprogramowania lub sprzętu, która została wykryta, ale dla której producent jeszcze nie udostępnił łatki. Kluczowa jest tutaj część odkrywcza, z pewnością w oprogramowaniu, z którego korzystamy istnieje wiele błędów, jednak dosłownie nikt o nich nie wie. Niewątpliwie niezmiernie ważne jest to, kto taką wiedzę uzyskał – ma to niebagatelne znaczenie dla tego, jak przebiega konkretny incydent bezpieczeństwa. Nie wszystkie luki są natychmiast bezwzględnie wykorzystywane przez cyberprzestępców. Część luk odkrywanych jest przez tzw. white hats, zanim informacja na temat odkrytego zagrożenia przedostanie się do sieci, white hats kontaktują się z producentem, tak aby jak najszybciej można było opracować łatkę i rozpowszechnić ją wśród użytkowników. Niestety w analogicznej sytuacji cyberprzestępcy, którzy mają wiedzę o lukach w zabezpieczeniach, usiłują ją jak najdłużej zachować w tajemnicy, tak aby za jej pomocą przeprowadzić jak najwięcej skutecznych ataków.
Jak cyberprzestępcy wykorzystują luki typu zero-day?
Luka zero-day to dla napastników kuszący cel, zaraz po jej wykryciu rozpoczyna się nierówna walka pomiędzy specjalistami ds. bezpieczeństwa a atakującymi. Dopóki producent nie zareaguje i nie wyda łatki, cyberprzestępcy robią wszystko, aby wykorzystać ją do przeprowadzenia skutecznego ataku. Często odkrywcy luk w zabezpieczeniach sprzedają swoją wiedzę na ich temat za gigantyczne pieniądze w DarkWebie. Jednak, aby wykorzystać tę lukę i uzyskać dostęp do systemu lub jego danych, atakujący muszą stworzy exploit typu zero-day – technikę penetracji lub fragment złośliwego oprogramowania, który wykorzystuje odkrytą słabość oprogramowania. Część napastników projektuje tego typu exploity na swój własny użytek, jednak coraz więcej wyspecjalizowanych grup nie chce bezpośrednio brudzić sobie rąk i sprzedaje gotowe exploity na czarnym rynku. Co ciekawe, przestępcy mają świadomość, że ich sekret nie będzie trwał wiecznie, dlatego często wykorzystują nowo odkryte luki przeciwko celom o dużej wartości.
Dlaczego ataki zero-day są tak niebezpieczne?
Za pomocą przygotowanego exploita cyberprzestępca może przeprowadzić atak zero-day, sama luka dnia zerowego to tylko potencjalna droga ataku, dopiero napastnik wyposażony w odpowiednie narzędzie jest w stanie wyrządzić nam prawdziwą szkodę. Podkreślić należy, że każdego roku dochodzi do niezliczonej ilości włamań, wiele z nich wykorzystuje luki, które są znane specjalistom od lat. Dla znakomitej większości z nich istnieją też poprawki, niestety zła higiena bezpieczeństwa i brak systematycznych aktualizacji sprawiają, że wciąż stanowią one otwarte drzwi dla cyberprzestępców. Wśród problemów, które stają przed organizacją, która dowie się o luce dnia zerowego pojawia się często dylemat czy zaakceptować ryzyko ataku, czy zamknąć kluczowy aspekt działalności, ma to miejsce zwłaszcza w sytuacjach, gdzie luka dotyczy systemu operacyjnego lub innego powszechnie używanego oprogramowania.
Ochrona przed atakami zero-day
To, że nie możesz załatać luk zero-day jeszcze nie oznacza, że nie możesz zapobiegać tego typu naruszeniom. Większość ataków jest wynikiem wielu luk w zabezpieczeniach, dlatego nie zwlekaj z aktualizacjami, często od ich zainstalowania zależy bezpieczeństwo całego systemu. Systematyczne aktualizacje to jedno, regularne wykonywanie kopii zapasowych to drugi niezmiernie istotny aspekt. Wprawdzie backup nie uchroni nas przed samym atakiem, jednak pomoże zminimalizować jego skutki.
Dbaj o świadomość zagrożeń wśród swoich użytkowników. Serwery mogą być narażone na lukę zero-day, ale jeśli osoba atakująca nie może złamać aktualnej zapory sieciowej lub przekonać użytkowników do pobrania trojana dołączonego do phishingowej wiadomości e-mail, to nie będzie w stanie dostarczyć swojego exploita i spenetrować naszego systemu.
Uważaj na włamania. Nie jesteśmy w stanie przewidzieć, jaką formę przybierze atak zero-day, dlatego musisz uważać na wszelkiego rodzaju podejrzane działania. Nawet jeśli napastnik ominie zabezpieczenia i wejdzie do Twojego systemu przez nieznaną Ci lukę, to pozostawi charakterystyczne oznaki, gdy zacznie poruszać się po Twojej sieci. W takiej sytuacji niezastąpiony jest system EDR, który wykrywa podejrzaną aktywność w sieci i dzięki temu skutecznie zapobiega włamaniom. Innym przydatnym rozwiązaniem jest antywirus nowej generacji, który nie korzysta z sygnatur. Niestety nawet najlepsza baza sygnatur na nic się nie zda przy ataku zero-day, aby się przed nimi chronić potrzebujesz antywirusa, który powiąże kod ze złośliwym oprogramowaniem na podstawie jego struktury i zachowania, nawet jeśli nie pasuje do żadnych istniejących sygnatur. Z naszego doświadczenia najlepszym rozwiązaniem tego typu, które wielokrotnie w przeszłości uchroniło swoich użytkowników przed dramatycznymi konsekwencjami ataków zero-day jest CylancePROTECT.
Zablokuj swoje sieci. Każde urządzenie lub serwer w Twojej firmie może teoretycznie zawierać lukę zero-day. Infrastruktura sieciowa, która utrudnia atakującym przechodzenie z komputera na komputer i ułatwia izolację systemów, których zabezpieczenia zostały naruszone, może pomóc w ograniczeniu szkód, jakie może wyrządzić atak. W szczególności powinieneś zaimplementować kontrolę dostępu opartą na rolach, tak aby atakujący nie mogli bez trudu dostać się do Twojej sieci.
