Zero-Day Kwesbaarhede: Hoe kan jy voorberei op die onverwagte?

Waarskuwings van wêreldwye kuberveiligheidsagentskappe het gewys hoe kwesbaarhede dikwels as nul-dae uitgebuit word. In die lig van so 'n onvoorspelbare aanval, hoe kan jy seker wees dat jy 'n geskikte vlak van beskerming het en of bestaande raamwerke genoeg is? 

Verstaan ​​die Zero-Day-bedreiging

Dit is amper tien jaar sedert kuberveiligheidspreker en navorser 'The Grugq' verklaar, “Gee 'n man 'n nul-dag, en hy sal toegang hê vir 'n dag; leer 'n man uitvis, en hy sal lewenslank toegang hê.”

Hierdie lyn het op die middelpunt van 'n dekade gekom wat begin het met die Stuxnet virus en het verskeie nul-dag kwesbaarhede gebruik. Dit het gelei tot 'n vrees vir hierdie onbekende kwesbaarhede, wat aanvallers gebruik vir 'n eenmalige aanval op infrastruktuur of sagteware en waarvoor voorbereiding klaarblyklik onmoontlik was.

'n Zero-day kwesbaarheid is een waarin geen pleister beskikbaar is nie, en dikwels weet die sagtewareverkoper nie van die fout nie. Sodra dit egter gebruik is, is die fout bekend en kan dit reggemaak word, wat die aanvaller 'n enkele kans gee om dit uit te buit.

Die evolusie van nul-dag-aanvalle

Aangesien die gesofistikeerdheid van aanvalle in die latere 2010's afgeneem het en losprysware, geloofsaanvalle en uitvissingpogings meer gereeld gebruik is, kan dit voel asof die ouderdom van die nul-dag verby is.

Dit is egter nie tyd om nul-dae af te wys nie. Statistieke toon dat 97 nul-dag kwesbaarhede in die natuur uitgebuit is in 2023, meer as 50 persent meer as in 2022. Dit was 'n rype tyd vir nasionale kuberveiligheidsagentskappe om waarskuwing uitreik oor ontginde zero-days.

In November het die Verenigde Koninkryk se Nasionale Kuberveiligheidsentrum (NCSC) – saam met agentskappe van Australië, Kanada, Nieu-Seeland en die Verenigde State – het 'n lys gedeel van die top 15 kwesbaarhede wat gereeld in 2023 uitgebuit is.

Waarom nul-dag-kwesbaarhede steeds belangrik is

In 2023 is die meerderheid van daardie kwesbaarhede aanvanklik as nul-dae uitgebuit, 'n aansienlike toename vanaf 2022, toe minder as die helfte van die grootste kwesbaarhede vroeg uitgebuit is.

Stefan Tanase, 'n kuberintelligensiekenner by CSIS, sê: “Zero-days is nie meer net instrumente van spioenasie nie; hulle stook grootskaalse kubermisdaad aan.” Hy noem die uitbuiting van zero-days in Cleo lêer oordrag oplossings deur die Clop ransomware-bende om korporatiewe netwerke te breek en data te steel as een van die mees onlangse voorbeelde.

Wat kan organisasies doen om teen nul-dae te beskerm?

So, ons weet wat die probleem is, hoe los ons dit op? Die NCSC-advies het ondernemingsnetwerkverdedigers sterk aangemoedig om waaksaam te wees met hul kwesbaarheidsbestuursprosesse, insluitend die toepassing van alle sekuriteitsopdaterings stiptelik en om te verseker dat hulle alle bates in hul boedels geïdentifiseer het.

Ollie Whitehouse, NCSC hooftegnologiebeampte, het gesê dat om die risiko van kompromie te verminder, organisasies "op die voorvoet moet bly" deur pleisters stiptelik aan te bring, aan te dring op veilige-deur-ontwerp produkte, en waaksaam te wees met kwesbaarheidsbestuur.

Om te verdedig teen 'n aanval waarin 'n nul-dag gebruik word, vereis dus 'n betroubare bestuursraamwerk wat daardie beskermende faktore kombineer. As jy vol vertroue is in jou risikobestuursposisie, kan jy seker wees om so 'n aanval te oorleef?

Die rol van ISO 27001 in die bekamping van nul-dag-risiko's

ISO 27001 bied 'n geleentheid om jou vlak van sekuriteit en veerkragtigheid te verseker. Bylae A. 12.6, ' Bestuur van Tegniese Kwesbaarhede', bepaal dat inligting oor tegnologiese kwesbaarhede van inligtingstelsels wat gebruik word, stiptelik verkry moet word om die organisasie se risikoblootstelling aan sulke kwesbaarhede te evalueer. Die maatskappy moet ook maatreëls tref om daardie risiko te versag.

Terwyl ISO 27001 nie die gebruik van nul-dag kwesbaarhede kan voorspel of 'n aanval deur dit te voorkom nie, sê Tanase sy omvattende benadering tot risikobestuur en sekuriteitsgereedheid rus organisasies toe om die uitdagings wat deur hierdie onbekende bedreigings gestel word, beter te weerstaan.

Hoe ISO 27001 help om kuberveerkragtigheid te bou

ISO 27001 gee jou die grondslag in risikobestuur en sekuriteitsprosesse wat jou moet voorberei vir die ernstigste aanvalle. Andrew Rose, 'n voormalige CISO en ontleder en nou hoofsekuriteitsbeampte van SoSafe, het 27001 in drie organisasies geïmplementeer en sê: “Dit waarborg nie dat jy veilig is nie, maar dit waarborg wel dat jy die regte prosesse in plek het om maak jou veilig.”

Rose noem dit "'n voortdurende verbeteringsenjin," sê Rose dit werk in 'n lus waar jy na kwesbaarhede soek, bedreigingsintelligensie insamel, dit op 'n risikoregister plaas en daardie risikoregister gebruik om 'n sekuriteitsverbeteringsplan te skep. Dan neem jy dit na die bestuurders en neem aksie om dinge reg te stel of die risiko's te aanvaar.

Hy sê: “Dit sit al die goeie bestuur in wat jy nodig het om veilig te wees of toesig te kry, al die risikobeoordeling en die risiko-ontleding. Al daardie dinge is in plek, so dit is 'n uitstekende model om te bou.”

Om die riglyne van ISO 27001 te volg en saam met 'n ouditeur soos ISMS te werk om te verseker dat die leemtes aangespreek word, en jou prosesse gesond is, is die beste manier om te verseker dat jy die beste voorbereid is.

Berei u organisasie voor vir die volgende nul-dag-aanval

Christian Toon, stigter en hoofsekuriteitstrateeg by Alvearium Associates, het gesê ISO 27001 is 'n raamwerk vir die bou van jou sekuriteitsbestuurstelsel deur dit as leiding te gebruik.

"Jy kan jouself in lyn bring met die standaard en doen en kies die stukkies wat jy wil doen," het hy gesê. "Dit gaan daaroor om te definieer wat reg is vir jou besigheid binne daardie standaard."

Is daar 'n element van voldoening aan ISO 27001 wat kan help om nul dae te hanteer? Toon sê dit is 'n kansspel wanneer dit kom by verdediging teen 'n uitgebuitde zero-day. Een stap moet egter behels om die organisasie agter die nakomingsinisiatief te hê.

Hy sê as 'n maatskappy nog nooit enige groot kuberkwessies in die verlede gehad het nie en "die grootste kwessies wat jy waarskynlik gehad het, is 'n paar rekeningoornames," dan moet jy voorberei vir 'n 'groot kaartjie'-item—soos om 'n nul-dag te herstel— sal die maatskappy laat besef dat hy meer moet doen.

Toon sê dit lei daartoe dat maatskappye meer in voldoening en veerkragtigheid belê, en raamwerke soos ISO 27001 is deel van "organisasies wat die risiko loop." Hy sê: "Hulle is baie bly om dit as 'n bietjie van 'n laevlak-nakomingsding te sien," en dit lei tot belegging.

Tanase het gesê dat 'n deel van ISO 27001 vereis dat organisasies gereelde risikobeoordelings uitvoer, insluitend die identifisering van kwesbaarhede - selfs dié wat onbekend is of opkomende - en die implementering van kontroles om blootstelling te verminder.

"Die standaard vereis sterk insidentreaksie en besigheidskontinuïteitsplanne," het hy gesê. "Hierdie prosesse verseker dat as 'n nul-dag kwesbaarheid uitgebuit word, die organisasie vinnig kan reageer, die aanval kan bedwing en skade kan verminder."

Die ISO 27001-raamwerk bestaan ​​uit advies om te verseker dat 'n maatskappy proaktief is. Die beste stap om te neem is om gereed te wees om 'n voorval te hanteer, bewus te wees van watter sagteware loop en waar, en 'n stewige hantering van bestuur te hê.