DVKi/Shutterstock. com
Cyberbrottslingar använder nolldagssårbarheter för att bryta sig in i datorer och nätverk. Zero-day bedrifter verkar vara på frammarsch, men är det verkligen så? Och kan du försvara dig? Vi tittar på detaljerna.
Zero-day Vulnerabilities
En zero-day sårbarhet är en bugg i en mjukvara. Naturligtvis har all komplicerad programvara buggar, så varför ska en nolldag ges ett speciellt namn? En nolldagarsbugg är en som har upptäckts av cyberbrottslingar men författarna och användarna av programvaran vet ännu inte om det. Och, avgörande, en nolldag är en bugg som ger upphov till en exploateringsbar sårbarhet.
RELATERATVad är en “datorbugg” och var gjorde Term kommer från?
Dessa faktorer kombineras för att göra en nolldag till ett farligt vapen i händerna på cyberbrottslingar. De känner till en sårbarhet som ingen annan känner till. Det betyder att de kan utnyttja den sårbarheten ohotat och äventyra alla datorer som kör den programvaran. Och eftersom ingen annan känner till nolldagen, kommer det inte att finnas några korrigeringar eller korrigeringar för den sårbara programvaran.
Så, under den korta perioden mellan de första utnyttjandena som äger rum—till att de upptäcks— 8212;och programutgivarna som svarar med korrigeringar, cyberbrottslingarna kan utnyttja den sårbarheten okontrollerat. Något öppet som en ransomware-attack går inte att missa, men om kompromissen handlar om hemlig övervakning kan det dröja väldigt lång tid innan nolldagen upptäcks. Den ökända SolarWinds-attacken är ett utmärkt exempel.
RELATED: SolarWinds Hack: Vad hände och hur du skyddar dig
Zero-Days har hittat sitt ögonblick
Zero-days är inte nytt. Men det som är särskilt alarmerande är den betydande ökningen av antalet nolldagar som upptäcks. Mer än det dubbla har hittats 2021 än 2020. De slutliga siffrorna sammanställs fortfarande för 2021—vi har trots allt några månader kvar att gå, men det tyder på att runt 60 till 70 nolldagarssårbarheter kommer att ha upptäckts vid årsskiftet.
Nolldagar har ett värde för cyberbrottslingar som ett sätt att obehörigt komma in på datorer och nätverk. De kan tjäna pengar på dem genom att utföra ransomware-attacker och pressa ut pengar från offren.
RELATERATVad är en nollklicksattack?
Men nolldagar i sig har ett värde. De är säljbara varor och kan vara värda enorma summor pengar för dem som upptäcker dem. Svartmarknadsvärdet för rätt sorts nolldagsexploat kan lätt nå många hundratusentals dollar, och vissa exempel har överskridit 1 miljon dollar. Zero-day mäklare kommer att köpa och sälja zero-day exploits.
Zero-day sårbarheter är mycket svåra att upptäcka. Vid ett tillfälle hittades och användes de bara av välresursstarka och högutbildade team av hackare, som statligt sponsrade grupper av avancerade persistent hot (APT). Skapandet av många av de zero-days som beväpnas tidigare har tillskrivits APT:er i Ryssland och Kina.
Naturligtvis, med tillräckligt med kunskap och engagemang, kan vilken som helst tillräckligt skicklig hackare eller programmerare hitta zero-days . White hat hackers är bland de bra köp som försöker hitta dem före cyberbrottslingarna. De levererar sina resultat till det relevanta mjukvaruhuset, som kommer att samarbeta med säkerhetsforskaren som hittade problemet för att avsluta det.
Nya säkerhetskorrigeringar skapas, testas och görs tillgängliga. De rullas ut som säkerhetsuppdateringar. Nolldagen meddelas först när all sanering är på plats. När den blir offentlig är åtgärden redan ute i naturen. Nolldagen har upphävts.
RELATERAT Vad är en “Zero-Day” exploatering, och hur kan du skydda dig själv?
Noll dagar används ibland i produkter. NSO-gruppens kontroversiella spionprogram Pegasus används av regeringar för att bekämpa terrorism och upprätthålla nationell säkerhet. Den kan installera sig på mobila enheter med liten eller ingen interaktion från användaren. En skandal bröt ut 2018 när Pegasus enligt uppgift användes av flera auktoritativa stater för att bedriva övervakning mot sina egna medborgare. Dissidenter, aktivister och journalister var måltavla.
Annons
Så sent som i september 2021 upptäcktes och analyserades en nolldag som påverkade Apple iOS, macOS och watchOS—som utnyttjades av Pegasus— av The University of Toronto’s Citizen Lab. Apple släppte en serie patchar den 13 september 2021.
Varför The Sudden Surge in Zero-Days?
En nödpatch är vanligtvis den första indikationen som en användare får om att en nolldagarssårbarhet har upptäckts. Programvaruleverantörer har scheman för när säkerhetskorrigeringar, buggfixar och uppgraderingar kommer att släppas. Men eftersom nolldagars sårbarheter måste korrigeras så snart som möjligt, är det inte ett alternativ att vänta på nästa schemalagda patchsläpp. Det är de out-of-cycle nödlapparna som hanterar nolldagars sårbarheter.
Om du känner att du har sett fler av dessa nyligen, är det för att du har gjort det. Alla vanliga operativsystem, många applikationer som webbläsare, smartphone-appar och smartphone-operativsystem har alla fått nödlappar under 2021.
Det finns flera anledningar till ökningen. På den positiva sidan har framstående mjukvaruleverantörer implementerat bättre policyer och procedurer för att arbeta med säkerhetsforskare som närmar sig dem med bevis på en nolldagssårbarhet. Det är lättare för säkerhetsforskaren att rapportera dessa defekter, och sårbarheterna tas på allvar. Viktigt är att den person som rapporterar problemet behandlas professionellt.
Det finns också mer transparens. Både Apple och Android lägger nu till mer detaljer i säkerhetsbulletiner, inklusive om ett problem var en nolldag och om det finns en sannolikhet att sårbarheten har utnyttjats.
Kanske för att säkerheten erkänns som en affärskritisk funktion—och behandlas som sådan med budget och resurser—attacker måste vara smartare för att komma in i skyddade nätverk. Vi vet att inte alla nolldagssårbarheter utnyttjas. Att räkna alla nolldagars säkerhetshål är inte detsamma som att räkna nolldagarssårbarheter som upptäcktes och korrigerades innan cyberbrottslingar fick reda på dem.
Annons
Men ändå kraftfull , organiserade och välfinansierade hackergrupper—många av dem APT—jobbar fullt ut för att försöka avslöja nolldagssårbarheter. Antingen säljer de dem eller så utnyttjar de dem själva. Ofta säljer en grupp en nolldag efter att de själva har mjölkat den, eftersom den närmar sig slutet av sin livslängd.
Eftersom vissa företag inte tillämpar säkerhetskorrigeringar och uppdateringar i tid, kan nolldagen njuta av ett förlängt liv även om de korrigeringar som motverkar den har är tillgängliga.
RELATERATVad är RansomCloud och hur skyddar du dig själv?
Uppskattningar tyder på att en tredjedel av alla zero-day exploits används för ransomware. Stora lösensummor kan enkelt betala för nya nolldagar för cyberbrottslingar att använda i sin nästa omgång av attacker. Ransomware-gängen tjänar pengar, zero-day-skaparna tjänar pengar, och det går runt och runt.
En annan tankegång säger att cyberkriminella grupper alltid har försökt att avslöja nolldagar, vi ser bara högre siffror eftersom det finns bättre upptäcktssystem på jobbet. Microsofts Threat Intelligence Center och Googles Threat Analysis Group tillsammans med andra har kompetens och resurser som konkurrerar med underrättelsebyråer’ förmåga att upptäcka hot i fält.
Med migreringen från lokalt till molnet är det lättare för dessa typer av övervakningsgrupper att identifiera potentiellt skadligt beteende hos många kunder samtidigt. Det är uppmuntrande. Vi kanske blir bättre på att hitta dem, och det är därför vi ser fler nolldagar och tidigt i deras livscykel.
Blir mjukvaruförfattare slarvigare? Sjunker kodkvaliteten? Om något borde det öka med antagandet av CI/CD-pipelines, automatiserad enhetstestning och en större medvetenhet om att säkerheten måste planeras in från början och inte bultas på som en eftertanke.
RELATERATVarför det Google-stödda programmet för säker öppen källkod är så viktigt
Bibliotek och verktygssatser med öppen källkod används i nästan alla icke-triviala utvecklingsprojekt. Detta kan leda till att sårbarheter introduceras i projektet. Det finns flera initiativ på gång för att försöka lösa problemet med säkerhetshål i programvara med öppen källkod och för att verifiera integriteten hos nedladdade mjukvarutillgångar.
How to Defend Dig själv
Endpoint-skyddsprogram kan hjälpa till med nolldagsattacker. Redan innan nolldagsattacken har karaktäriserats och antivirus- och anti-malware-signaturerna uppdaterats och skickats ut, kan avvikande eller oroande beteende från attackmjukvaran utlösa de heuristiska detekteringsrutinerna i marknadsledande program för endpoint-skydd, fånga och sätta attacken i karantän. programvara.
Håll all programvara och operativsystem uppdaterade och korrigerade. Kom ihåg att även patcha nätverksenheter, inklusive routrar och switchar.
Minska din attackyta. Installera bara nödvändiga programvarupaket och granska mängden öppen källkod du använder. Överväg att gynna appar med öppen källkod som har registrerat sig för artefaktsignerings- och verifieringsprogram, till exempel Secure Open Source-initiativet.
Använder självfallet en brandvägg och använd dess gateway-säkerhetssvit om den har en.
Om du är nätverksadministratör, begränsa vilken programvara användare kan installera på sina företagsmaskiner. Utbilda dina anställda. Många nolldagsattacker utnyttjar ett ögonblick av mänsklig ouppmärksamhet. tillhandahålla träningssessioner för medvetenhet om cybersäkerhet, och uppdatera och upprepa dem ofta.
RELATERAT: Windows-brandvägg: ditt systems bästa försvar
LÄS NÄSTA < ul id="nextuplist">