Zero Day Attack 101: Hvad er det, og hvordan skal du håndtere det
Din virksomhed kan blive mål for et Zero Day Attack. Her er hvordan du kan forhindre det i at ske for dig.
This post is also available in:
English
Udtrykket zero day refererer til en computer software sårbarhed, der er ukendt for både de organisationer, der bruger nævnte software samt tredjepartsleverandørerne, der udvikler det. Uden ordentlig afbødning kan hackere udnytte denne fejl i et systems sikkerhed til at inficere det eller på anden måde beskadige det. Dette er kendt som en zero day angreb.
Men hvad er et zero day angreb? Og endnu vigtigere, hvordan kan du forhindre det i at skade din virksomhed? I de følgende linjer, vil jeg gennemgå definitionen og angrebs vektorerne, samt give et par relevante eksempler til at illustrere, hvordan det udfolder sig. Så vil jeg gennemgå de grundlæggende begreber i forbindelse med et zero day angreb i din virksomhed. Lad os komme i gang med artiklen.
Hvad er et zero day-angreb?
Så hvad er et zero day angreb? I henhold til Heimdal Security Glossary,
“Et Zero Day (eller Zero Hour or Day Zero) angreb eller trussel er en computer trussel, der forsøger at udnytte computer applikationssårbarheder, der er ukendte for andre eller frigivet til softwareudvikleren. Zero Day-udnyttelser (faktisk kode, der kan bruge et sikkerhedshul til at udføre et angreb) bruges eller deles af angribere, før softwareudvikleren finder ud af sårbarheden. “
Zero Day angrebs vektorer
Cyberkriminelle gør brug af forskellige medier til at levere deres nyttelast og infiltrere et virksomhedsnetværk. I tilfælde af et zero day angreb kan tre hovedvektorer identificeres:
- Ondsindede websteder, som hackere bruger til at udnytte sikkerhedssvagheder i din webbrowser. De injiceres med ondsindet kode, der aktiveres, når brugerne får adgang til inficerede sider. Denne zero day angrebsvektor er særligt indbringende, da browsere er meget udbredt hos organisationer og private brugere.
- Phishing-e-mails, hvor cyberkriminelle sender inficerede links eller vedhæftede filer ved at manipulere SMTP-kommunikationssystemet (Simple Mail Transfer Protocol). Slutpunktsbrugere narres til at åbne dem via smarte social Engineering taktikker, hvilket kan resultere i korruption i et helt forretningsnetværk.
- Malware, som er specielt designet til at misbruge sikkerhedshuller i almindelige filtyper. Dette gør det muligt for ondsindede tredjeparter at få adgang til og stjæle fortrolige data samt kompromittere en del af eller hele det angrebne system.
Eksempler på zero day-angreb
Tidsrummet mellem opdagelsen af et sikkerhedsgab og dets afhjælpning kaldes et sikkerhedsrisikovindue. Det er her et zero day angreb kan finde sted. Jeg har sammensat fem eksempler nedenfor for bedre at illustrere denne type hændelse, så lad os se på hver enkelt.
Billede Kilde: Cybersecurity Ordliste
OPERATION AURORA
I 2010 gennemførte flere APT-grupper med base i Kina en række målrettede angreb mod amerikanske virksomheder i den private sektor. Denne storstilede handling kaldes Operation Aurora. Mistænkte ofre omfattede Google, Yahoo, Adobe, Dow Chemical, Symantec, Juniper Network, Morgan Stanley, Rackspace og Northrop Grumman. Google var dog den eneste, der indrømmede zero day angrebet og placerede skylden på kinesisk industrispionage. Som følge heraf indstillede virksomheden sin drift i Kina.
Stuxnet
Stuxnet er en ondsindet computerorm og er ansvarlig for flere zero day-angreb i Iran, Indien og Indonesien. Først opdaget i 2010, men med rødder, der spredes så langt som 2005, det påvirkede fremstillingen af computere, der kører programmerbar logik controller (PLC) software. Truslen udnyttede en sårbarhed i Siemens Step7 PLC-softwaren, hvilket forårsagede uregelmæssig adfærd på samlebåndet. Dets primære mål var Irans uranberigelsesanlæg i et forsøg på at forstyrre landets vellykkede atomprogram.
Rsa
Computer- og netværkssikkerhedsfirmaet RSA var målet for et zero day angreb i 2011, da hackere brugte en dengang upatched Adobe Flash Player-sårbarhed til at komme ind i deres systemer. Cyberkriminelle sendte den ondsindede Flash-vedhæftede fil i skikkelse af et Excel-regneark til flere medarbejdere. Da man åbnede den, installerede makroen i det skjulte Poison Ivy-fjernadministrationsværktøjet, som gjorde det muligt for dem at tage kontrol over hele enheden. Angribere fortsatte derefter med at søge efter og kopiere følsomme virksomhedsdata til brug til deres egne forbryderiske formål.
Sony
Det berygtede zero day angreb på det amerikanske underholdningsfirma Sony Pictures i 2014 er et afgørende øjeblik i cyberhistorien. Rygter om, at en bestemt nationalstatsskuespiller infiltrerede virksomhedens systemer som gengæld for en dengang uudgivet film, der parodierede sin totalitære leder, opstod hurtigt og blev skudt ned igen, hvilket skabte en global fiasko omkring hændelsen. Virkeligheden i situationen er ukendte cyberkriminelle, der søgte og med succes fik adgang til private virksomhedsdata, såsom exec-e-mails, forretningsplaner og filmfrigivelsesdatoer.
Microsoft
Et meget nyligt zero day angreb, der blev offentliggjort for ikke alt for mange dage siden, er, det på Microsoft, det ansete Washington-baserede multinationale teknologi selskab. Du kan læse alt om det på Heimdal Security’s blog, hvor min kollega Bianca gjorde et super job for at dække hændelsen. Handlingen tilskrives den kinesiske hackergruppe Hafnium, og den påvirkede Microsofts Exchange Server 2013, Exchange Server 2016 og Exchange Server 2019.
Sådan håndterer du et zero day-angreb
En ordentlig zero day angrebsstrategi bør bestå af tre hovedelementer: detektion, afbødning og forebyggelse. Jeg har detaljeret hver af dem nedenfor sammen med nyttige anbefalinger til cybersikkerhedsværktøjer, som du kan bruge på hvert punkt i processen.
#1 Hvordan man opdager et Zero Day Attack
Traditionelle cybersikkerhedsværktøjer såsom intrusion prevention and detection registrerer indgående cybertrusler ved at sammenligne deres signatur med en liste over kendte problemer. Zero Day-angreb har dog ingen signatur, fordi sårbarheden endnu ikke er blevet analyseret. Chancerne for at de kriminelle er nogle af de første, hvis ikke de allerførste til at opdage det er store.
Derfor er zero day angreb meget svære at opdage gennem standardmetoder. Dette er derfor din virksomhed har brug for avancerede algoritmer til trusselsregistrering drevet af kunstig intelligens og sandbox analyse som dem, der tilbydes af vores Heimdal™ Next-Gen Endpoint Antivirus & MDM. Når det kombineres med vores proprietære tilbud om Heimdal™ Threat Prevention, er det den bedste forsvarslinje dine systemer kan have mod hackere, der ønsker at udnytte huller i din sikkerhed.
Heimdal® DNS Security Solution
#2 Sådan afbødes et zero day-angreb
Zero day-angreb er vanskelige at afbøde, da de kan snige sig ind i dine systemer uopdaget, medmindre du har en robust NGAV- og DNS-filterkombination, der beskytter dig. Den ene ting, jeg anbefaler at gøre, så snart du får nogen indikation af, at cyberkriminelle har infiltreret dit netværk, er at tage netværket offline og undersøge for at finde kilden til hændelsen. Når du har stoppet dens spredning, kan du fokusere på at lappe de sårbarheder, der findes på dine endpoints.
#3 Hvordan forhindrer man et Zero Day Attack
Eftersom lindring af et angreb kan være en vanskelig affære, forbliver forebyggelse din bedste satsning. Den anbefalede måde til helt at forhindre et zero day angreb fra at tage fat i din virksomheds netværk er ved at anvende patches, så snart de er frigivet af deres respektive udviklere. En automatisk softwareopdatering som vores Heimdal™ Patch & Asset Management kan hjælpe dig med at opnå dette.
Sidste tanker om Zero Day Angreb
Beskyttelse af din virksomhed mod zero day angreb er afgørende for integriteten af dine data. Denne type trussel er især svær, da den normalt ikke kan findes på standard blacklister. Af denne grund skal din virksomhed have en passende detektions-, afbødnings- og forebyggelsesstrategi på plads. Som altid kan Heimdal Security hjælpe dig med det, så tøv ikke med at kontakte sales.inquiries@heimdalsecurity.com til en konsultation.