Wzrost liczby zero-day exploitów zmienia zalecenia dotyczące bezpieczeństwa
Badania przeprowadzone przez Rapid7 pokazują, że gwałtowny wzrost liczby ataków zero-day przyczynia się do skrócenia czasu wykorzystania luk w zabezpieczeniach, co sprawia, że zespoły ds. bezpieczeństwa IT są obciążone większą potrzebą reagowania po incydencie.

W związku z tym, że ataki zero-day szybko przyćmiewają exploity znanych luk, dyrektorzy ds. bezpieczeństwa informacji stają przed widmem konieczności zmiany strategii bezpieczeństwa na rzecz reakcji po ich wykorzystaniu.
To kluczowy wniosek z niedawno opublikowanego raportu Rapid 7 Attack Intelligence Report 2024 firmy zajmującej się bezpieczeństwem: mając mniej czasu na reakcję i wdrożenie poprawek i środków zaradczych, gdy dowiedzą się o nowej luce, która jest aktywnie wykorzystywana, dyrektorzy ds. bezpieczeństwa informacji muszą wprowadzić kontrole i detekcje po eksploatacji, aby ograniczyć szkody, jeśli atakujący uzyskają dostęp do ich sieci.
Według badaczy Rapid7 w ciągu ostatniego roku liczba masowych ataków przeprowadzonych za pośrednictwem niezałatanych luk w zabezpieczeniach (zero-day) przewyższyła liczbę ataków wykorzystujących znane luki w zabezpieczeniach z dostępnymi łatkami. Exploity przeciwko urządzeniom brzegowym sieci, takim jak urządzenia VPN i bramy bezpieczeństwa, odegrały dużą rolę w tej eksplozji, odpowiadając za ponad jedną trzecią ataków.
Co więcej, w przeciwieństwie do większości exploitów n-day dla znanych luk, które są zwykle wykorzystywane przez wielu cyberprzestępców, gdy exploit staje się dostępny, exploity zero-day były wykorzystywane głównie przez pojedynczych wyrafinowanych przeciwników, którzy atakowali dziesiątki lub setki organizacji w swoich kampaniach ataków.
"To nie są cyberzagrożenia naszych dziadków – to dojrzały, dobrze zorganizowany ekosystem cyberprzestępczości w działaniu, z coraz bardziej wyrafinowanymi mechanizmami uzyskiwania dostępu, ustanawiania trwałości i unikania wykrycia" – napisali naukowcy w swoim raporcie.
W związku z tym dyrektorzy ds. bezpieczeństwa informacji powinni ponownie ocenić swoje strategie bezpieczeństwa IT, mając na uwadze krótsze cykle wykorzystania luk w zabezpieczeniach i reagowanie po incydencie.
Przejście na reagowanie na incydenty
Badacze Rapid7 prześledzili ponad 60 luk w zabezpieczeniach, które były szeroko wykorzystywane w 2023 r. i na początku tego roku. Spośród nich ponad połowa to nowe wady odkryte w tym okresie; Spośród tych nowych wad 53% było zero-day, gdy zostały początkowo znalezione.
Warto zauważyć, że badacze Rapid7 uważają, że luka w zabezpieczeniach może być wykorzystywana masowo lub na szeroką skalę, gdy jest wykorzystywana w rzeczywistych atakach na wiele organizacji z różnych branż i geolokalizacji. Badacze zauważają, że nie uwzględnili oni luk zero-day, dla których w ich śledzeniu opublikowano jedynie exploit typu proof-of-concept w Internecie.
Nie uznali również prób wykorzystania tysięcy honeypotów wystawionych przez firmy ochroniarskie na całym świecie za rzeczywiste ataki, ponieważ zniekształciłoby to postrzeganie tego, jak powszechne jest zagrożenie, potencjalnie odwracając uwagę organizacji od ustalania priorytetów, gdzie skierować swoje ograniczone zasoby.
"Organizacje powinny oczekiwać przeprowadzenia dochodzeń w sprawie reagowania na incydenty, które poszukują wskaźników naruszenia bezpieczeństwa (IOC) i aktywności po wykorzystaniu podczas powszechnych zdarzeń związanych z zagrożeniami, a także aktywacji protokołów awaryjnego łatania" – doradzili naukowcy.
Krótsze cykle exploitów, większe obciążenie bezpieczeństwa
Liczba exploitów zero-day eksplodowała od 2021 r., a rodzaj cyberprzestępców, którzy z nich korzystają, nie ogranicza się do sponsorowanych przez państwo grup cyberszpiegowskich, ale także gangów cyberprzestępczych promujących oprogramowanie ransomware i złośliwe oprogramowanie do wydobywania kryptowalut. W 2020 r. liczba exploitów n-day przewyższyła liczbę exploitów 0-day 3 do 1; Do 2021 r. 0-dni stanowiły ponad połowę szeroko rozpowszechnionych ataków, które nigdy nie powróciły do poprzedniego poziomu.
"Od 2021 r. badacze Rapid7 śledzą czas między tym, kiedy luki w zabezpieczeniach stają się znane opinii publicznej, a momentem, w którym są (wiarygodnie) zgłaszane jako wykorzystywane na wolności" – powiedzieli naukowcy. "To okno, które nazywamy "Time to Known Exploitation" (TTKE), znacznie się zawęziło w ciągu ostatnich trzech lat, głównie w wyniku powszechnych ataków typu zero-day".
Ataki zero-day mają TTKE równe 0, ponieważ luki są wykorzystywane, zanim zostaną publicznie poznane. W związku z tym trudno jest wyciągnąć odpowiednie wnioski, obliczając średnie TTKE, ale naukowcy zwracają uwagę, że spośród wszystkich błędów (0-day i n-day) śledzonych od 2021 r., 55% zostało wykorzystanych w ciągu pierwszego tygodnia po publicznym ujawnieniu, a 60% w ciągu pierwszych dwóch tygodni. Jest to duża różnica w stosunku do 2020 r., kiedy 30% było wykorzystywanych w pierwszym tygodniu, a 32% w pierwszych dwóch tygodniach.
Wniosek jest jasny: wraz ze skracaniem się cykli ataków specjaliści ds. bezpieczeństwa IT mają mniej czasu na poleganie na poprawkach i środkach zaradczych, a teraz muszą poświęcić więcej czasu na próby ograniczenia szkód, jakie mogą wyrządzić atakujący, koncentrując się na kontrolach i wykrywaniu po wykorzystaniu luki.
Ta zmiana i wynikające z niej zamieszanie prowadzą do dodatkowego obciążenia zespołów ds. bezpieczeństwa.
"Technologie takie jak wykrywanie i reagowanie w punktach końcowych (EDR) są kluczowymi elementami strategii ochrony w głąb, ale uważamy, że liderzy biznesowi powinni być świadomi, że zwalczanie i zapobieganie współczesnym cyberzagrożeniom nadal wymaga ludzkiej wiedzy oprócz technologii" – ostrzegają naukowcy. "Bardziej niż kiedykolwiek wypalenie zawodowe i drenaż mózgów w zespołach ds. bezpieczeństwa zwiększają ryzyko związane z dobrze wyposażonymi, zmotywowanymi operacjami przeciwników".
MFA może zrobić dużą różnicę
W okresie sprawozdawczym zespół zarządzanego wykrywania i reagowania (MDR) firmy Rapid7 prześledził ponad 5 600 incydentów związanych z oprogramowaniem ransomware na podstawie raportów publicznych i własnych dochodzeń, zauważając, że jest to bardzo konserwatywna liczba, ponieważ wiele takich incydentów nadal nie jest zgłaszanych. Niektóre ugrupowania ransomware wykorzystywały exploity zero-day, szczególnie przeciwko aplikacjom zarządzanego transferu plików (MFT), ale także narzędziom do współpracy i urządzeniom obwodowym sieci.
Znane luki w zabezpieczeniach (KEV) utrzymywane przez amerykańską Agencję ds. Bezpieczeństwa Cybernetycznego i Infrastruktury (CISA) obejmują obecnie 219 CVE — identyfikatorów luk w zabezpieczeniach — o których wiadomo, że były wykorzystywane w atakach ransomware.
To powiedziawszy, zespół MDR Rapid7 doszedł do wniosku, że 41% incydentów ransomware było wynikiem braku uwierzytelniania wieloskładnikowego (MFA) na wirtualnym pulpicie lub korporacyjnych systemach VPN. W związku z tym ataków tych można było łatwo uniknąć, wymuszając jedną stosunkowo prostą dodatkową kontrolę uwierzytelniania.
Atakujący wybierają prostsze exploity
Podczas gdy większość luk w zabezpieczeniach umożliwiających zdalne wykonanie kodu była historycznie wynikiem problemów z uszkodzeniem pamięci w oprogramowaniu, istnieje nowy trend, który firma Rapid7 zaobserwowała w swoim zbiorze danych: atakujący wybierają głównie klasy luk w zabezpieczeniach, dla których łatwiej jest opracować stabilne i niezawodne exploity.
Na przykład luki powodujące uszkodzenie pamięci są trudne do wykorzystania ze względu na różne technologie zapobiegające eksploatacji dodawane do oprogramowania na przestrzeni lat na poziomie systemu operacyjnego i aplikacji. Wykorzystanie uszkodzenia pamięci często wymaga łączenia w łańcuch dodatkowych luk w zabezpieczeniach, które ujawniają lokalizacje pamięci, lub polegania na różnych skomplikowanych technikach. Sprawienie, by jeden exploit działał niezawodnie w różnych wersjach tego samego systemu operacyjnego, jest wyzwaniem samym w sobie.
Dlatego nie jest wielką niespodzianką, że 75% CVE zawartych w zbiorze danych Rapid7 dotyczącym szeroko rozpowszechnionych exploitów w ciągu ostatnich czterech lat było spowodowanych niewłaściwą kontrolą dostępu — obejściami uwierzytelniania, niewłaściwymi implementacjami kryptograficznymi i zdalnie dostępnymi interfejsami API — lub problemami z wstrzykiwaniem, takimi jak fałszowanie żądań po stronie serwera (SSRF), wstrzykiwanie SQL i wstrzykiwanie poleceń. Nawet błędy deserializacji były bardziej powszechne niż błędy powodujące uszkodzenie pamięci.
Zalecenia dotyczące ochrony w głąb
Posiadanie solidnego programu zarządzania lukami w zabezpieczeniach, który zapewnia terminowe łatanie krytycznych i szeroko wykorzystywanych luk w zabezpieczeniach, jest niezbędne, zarówno w chmurze, jak i lokalnie. Ale inne elementy sterujące również mogą mieć duże znaczenie. Na przykład wdrożenie uwierzytelniania wieloskładnikowego dla wszystkich systemów i aplikacji powinno być najwyższym priorytetem, podobnie jak stosowanie zasady najniższych uprawnień podczas tworzenia kont i ról.
Zmniejszenie powierzchni ataku narażonej na ataki z Internetu może spowodować dużą zmianę. Firmy powinny regularnie przeglądać swoje urządzenia sieciowe, aplikacje, porty i interfejsy dostępne w Internecie. Wszystko, co można odgrodzić, powinno być odgrodzone.
Zapewnienie wydajnej strategii tworzenia kopii zapasowych z wieloma lokalizacjami kopii zapasowych, zarówno online, jak i offline, na miejscu i poza nim, może być bardzo skuteczne w przypadku ataków ransomware. Firmy powinny również wprowadzić środki w celu wykrywania i zapobiegania próbom eksfiltracji dużych ilości danych, co jest jedną z głównych technik wymuszeń stosowanych przez grupy ransomware.
- źródło