Was ist

Zero-Day-Angriffe

?

Was sind Zero-Day-Sicherheitslücken?

Zero-Day-Sicherheitslücken sind unbekannte Sicherheitslücken oder Bugs in Software, Firmware oder Hardware, von denen der Anbieter nichts weiß oder über keinen offiziellen Patch oder Update verfügt, um die Sicherheitsanfälligkeit zu beheben. Oft sind sich Anbieter und Benutzer der Existenz einer Sicherheitslücke nicht bewusst, es sei denn, sie werden von einem Forscher gemeldet oder als Ergebnis eines Angriffs entdeckt.

Was sind Zero-Day-Angriffe?

\ Wenn schlechte Akteure in der Lage sind, sich erfolgreich zu entwickeln und einzusetzen Malware das eine Zero-Day-Sicherheitslücke ausnutzt, dann wird diese Malware zu einem Zero-Day-Angriff. Durch das Ausnutzen der Sicherheitslücke erhalten die Angreifer unbefugten Zugriff auf sensible Daten und/oder kritische Systeme.

Was ist ein Zero-Day-Exploit?

Ein Zero-Day-Exploit ist die Technik, mit der böswillige Akteure Systeme angreifen, die diese Sicherheitslücke aufweisen. Forscher verwenden Exploits, um zu demonstrieren, welche Auswirkungen das „Ausnutzen“ der Sicherheitslücke hat, um sich unbefugten Zugriff zu verschaffen oder das zugrunde liegende System zu gefährden.

Zero-Day-Exploits haben ihren Namen, weil sie seit Zero Days öffentlich bekannt sind. Es ist möglich, dass böswillige Akteure Exploits erstellen und darauf warten, sie strategisch einzusetzen. In diesem Fall kennt der Angreifer den Exploit zwar, aber er ist immer noch nicht öffentlich bekannt und wird immer noch als Zero-Day-Exploit betrachtet.

Laut dem Ponemon Institute waren 80% der erfolgreichen Sicherheitslücken Zero-Day-Angriffe.

Die Gefahr eines Zero-Day-Exploits

Exploits sind sehr schwer abzuwehren, da Daten über den Exploit in der Regel erst nach Abschluss des Angriffs zur Analyse zur Verfügung stehen. Diese Angriffe können die Form von polymorphen Würmern, Viren, Trojanern und anderer Schadsoftware annehmen.

Wenn eine Sicherheitslücke öffentlich wird und Forscher eine Lösung gefunden haben oder der Anbieter einen Patch bereitgestellt hat, wird sie zu einer bekannten Sicherheitslücke oder einer „N-Day“ -Sicherheitslücke und nicht zu einem „Zero-Day-Exploit“.

Wie werden Zero-Day-Exploits bei einem Angriff eingesetzt?

Dies sind mehrere Exploit-Methoden zum Starten und Ausführen eines Angriffs. Zu den gängigen Methoden gehören beispielsweise:

  • Speer-Phishing mit Social Engineering. Diese Technik wird von Bedrohungsakteuren (in der Regel Nationalstaaten) verwendet, um ein bestimmtes, in der Regel hochrangiges, individuelles Ziel dazu zu bringen, eine speziell gestaltete bösartige E-Mail zu öffnen. Diese Akteure verbringen möglicherweise einige Zeit damit, das Ziel in den sozialen Medien zu verfolgen und zu überwachen, bevor sie die bösartige E-Mail versenden.
  • Spam-E-Mails und Phishing. In diesem Szenario senden Angreifer E-Mails an eine sehr große Anzahl von Empfängern in mehreren Organisationen, in der Erwartung, dass ein kleiner Prozentsatz die E-Mail öffnet und auf den Link klickt, der in der Nachricht eingebettet ist. Wenn Sie auf den Link klicken, wird die schädliche Payload heruntergeladen oder der Benutzer wird zu einer Website weitergeleitet, die die Malware automatisch herunterlädt. Diese Technik wird häufig von organisierten Cyberkriminellen eingesetzt.
  • Einbetten von Exploit-Kits in Werbeanzeigen und bösartige Websites. In diesem Szenario haben böswillige Akteure erfolgreich eine Website kompromittiert und einen bösartigen Code injiziert, der einen Besucher auf den Exploit-Kit-Server umleiten würde.
  • Kompromittieren eines Systems, Netzwerks oder Servers. Zum Beispiel das Anwenden von Brute-Force und das anschließende Verwenden des Exploits zur Ausführung des Angriffs.

Was sind bekannte Beispiele für erfolgreiche Zero-Day-Angriffe?

Was sind die besten Methoden zum Schutz vor Zero-Day-Angriffen?

Praktizieren Sie die Entwicklung eines sicheren Softwarelebenszyklus, um die Codesicherheit zu gewährleisten, und sichern Sie Software, um potenzielle Risiken oder Sicherheitslücken zu minimieren.

  • Verfügen Sie über ein solides Schwachstellen-Management-Programm und ein Patch-Programm. Aktualisieren Sie beispielsweise Software so schnell wie möglich, insbesondere wichtige Sicherheitsupdates.
  • Die Schulung zum Thema Cybersicherheit konzentrierte sich auf Social Engineering, das Erkennen von Phishing- und Spear-Phishing-Kampagnen und das Vermeiden bösartiger Websites.
  • Einsatz mehrschichtiger Sicherheitskontrollen, einschließlich Perimeterfirewalls, IPS/IDS und anderer Sicherheitskontrollen für Rechenzentren sowie Endpunktsicherheitskontrollen.
  • Bewerben Mikrosegmentierung und geringste Privilegien, insbesondere in hochwertigen Systemen, um es Angreifern zu erschweren und zu verteuern, ihre Ziele zu erreichen.
  • Bedrohungsinformationen, Prüfung und Überwachung von Benutzeraktivitäten, Konnektivität und Erkennung von Anomalien.
  • Haben Sie einen durchdachten Disaster Recovery- und Backup-Plan.

Welche Rolle spielen Sichtbarkeit in Echtzeit und Mikrosegmentierung bei der Reaktion auf einen Zero-Day-Angriff?

Selbst wenn eine Software anfällig ist, kann ein böswilliger Akteur seinen Exploit möglicherweise nicht unbedingt erfolgreich einsetzen, wenn das Ziel gut durchdachte Zugriffskontrollprobleme hatte.

  • Die Sichtbarkeit in Echtzeit ermöglicht es Sicherheits-, IT-Abteilungen und Netzwerkteams, den normalen Datenverkehr und das Anwendungsverhalten zu modellieren und zu verstehen. Es hilft ihnen, neue Konnektivität und ungewöhnliche Fehlversuche, eine Verbindung zu einem herzustellen, zu erkennen Arbeitslast, was Anzeichen für einen Angriff sein könnten.
  • Die Mikrosegmentierung ist eine präventive Kontrolle. Der Ansatz der Mikrosegmentierung, bei dem die Standardeinstellung verweigert wird, reduziert Angriffsfläche. Dies schränkt die Angriffspfade eines Exploits ein und macht es für einen böswilligen Akteur teurer, seinen Angriff im Netzwerk seines Ziels zu verbreiten.
  • Mikrosegmentierung als Ausgleichskontrolle im Falle eines Angriffs. Wenn ein Zero-Day öffentlich bekannt gegeben wird und kein Patch verfügbar ist oder das Patchen betrieblich nicht durchführbar ist, kann ein Unternehmen die Segmentierung auf Prozessebene verwenden, um den Datenverkehr zwischen Workloads und zwischen Workloads und Benutzern nur für bestimmte Ports, Protokolle und Dienste zu sperren.

Assume Breach.
Auswirkungen minimieren.
Erhöhen Sie die Widerstandsfähigkeit.

Ready to learn more about Zero Trust Segmentation?