我们不知道自己的盲点,这是困扰安全团队的典型问题,也是0 day漏洞能够掀起轩然大波的关键原因。0 day漏洞是威胁行为者的“利器”,创造了宕机和恐慌的完美“风暴”。
作为攻击一方“抛出”的意外因素,0 day漏洞可谓是一种令人望而生畏的存在,安全团队时常会感到完全不知所措,但这并不意味着没有可行措施来为此类威胁做好准备。事实上,这些攻击与更广为人知的策略没有太大区别,不需要特殊处理——只要正确的安全基础到位。
扎实安全基础
就其核心而言,0 day与大多数其他攻击具有相同的最终目标。威胁行为者利用安全漏洞获取访问权限,但这只是最初的立足点,真正的损害在他们进入系统后才会显现。一旦文件被加密,数据被泄露并且被索要赎金,安全团队需要担心的事情就会变得更多。但如果事情从来没有达到那个地步呢?为了实现这一点,安全团队必须确保组织的安全态势能够减轻0 day漏洞的影响。
应急响应计划、系统和软件清单、持续扫描和监控、分段和桌面练习等基本安全实践和工具,都是安全团队应该已经部署到位的关键要素。如果没有这些基本的最佳实践,事情可能会随着攻击者创建管理员帐户、在系统内横向移动并触发广泛的安全噩梦而愈演愈烈。
不是“如果”,而是“当”
准备工作的一部分意味着在攻击的可能性方面设定现实的期望。虽然没有人希望发生网络攻击,但一个组织迟早会经历一次。这就是为什么做好准备是值得的。
组织需要从“预防思维”转变为“弹性理念”,因为归根结底,我们不可能阻止每一次攻击的发生,尤其是面对0 day。虽然阻止这些攻击可能是不可能的,但减轻它们还是完全可能的。计划是一个关键因素,做好准备能够让业务领导者和安全团队都放心,因为他们知道如何在时机成熟时采取相应地措施来处理威胁。
首要的,安全团队必须确定他们是否容易受到特定漏洞的攻击。如果组织的防御者拥有准确且更新的系统和软件清单以及组织的攻击面意识,这一点应该很容易。举个例子:Log4Shell 漏洞的严重程度仍然未知,因为安全团队还继续在他们的资产中发现Log4j。有了这种意识,安全团队可以在缓解措施发布时及时做出响应。
如果软件或系统已遭入侵,考虑到漏洞的未知性质,识别初始攻击向量会更具挑战性。不过,即便无法立即确定出攻击来源,但仍有一些方法可以防止完全丧失控制权。这也是计划对于指导人员进行下一步的关键所在。通过适当的控制以及计划,组织可以根据情况实现安全最优化。
矢志不移:良好的基础还有很长的路要走
从本质上讲,0 day漏洞给安全团队和业务人员带来了很多不确定感。不过,与其专注于可以做些什么来阻止它的发生,倒不如将更有价值的时间和资源用于确保企业资产的有限“曝光”。 无论攻击最初是如何发生的,良好的安全实践都很重要。
例如,在减轻网络攻击方面,实用性和准备都是缺一不可的。随着网络安全人才持续短缺,监控和响应每个警报变得更具挑战性。攻击者已经在0 day中占据上风,这就是强大的事件响应程序可以帮助团队有效且高效地利用资源以最大限度减少损失的原因所在。
本文翻译自:https://www.helpnetsecurity.com/2022/03/22/zero-day-exploits/如若转载,请注明原文地址