Verteidigen und Maßnahmen ergreifen, wenn keine Zeit mehr bleibt.
Schutz vor RansomwareEin Zero-Day-Angriff ist einer, der entdeckt wird, während er bereits im Gange ist, was bedeutet, dass ein Sicherheitsteam „null Tage“ hat, sich vorzubereiten und den Vektor, über den der Angreifer eingedrungen ist, beheben.
Tatsächlich, laut dem National Institute of Standards and Technology (NIST), nutzt ein Zero-Day-Angriff „eine bisher unbekannte Hardware-, Firmware- oder Software-Schwachstelle aus“.
Eine Zero-Day-Schwachstelle ist eine Schwachstelle, die dem Cybersecurity-Team bisher unbekannt war und für die es derzeit keinen Patch oder keine Abhilfe gibt. Das bedeutet, dass Gegenmaßnahmen schnell von Grund auf entwickelt werden müssen, bevor ein Bedrohungsakteur die Schwachstelle entdeckt und ausnutzt. Wenn die Schwachstelle noch nicht ausgenutzt wurde, hat ein Security Operations Center (SOC) sehr viel Glück gehabt.
Sollten Anzeichen dafür vorliegen, dass die Schwachstelle ausgenutzt wurde, ist es an der Zeit, aktiv zu werden und zu versuchen, die Auswirkungen des laufenden Angriffs zu begrenzen.
Ein Zero-Day-Exploit bedeutet, dass der Bedrohungsakteur in den Angriffsmodus wechselt und die entdeckte Schwachstelle ausnutzt, bevor das zuständige Sicherheitspersonal über die Schwachstelle informiert wurde. Von dort aus würde ein Angreifer hoffen, dass ihm die maximale Zeit zur Verfügung steht, um sich frei im Zielnetzwerk zu bewegen und so viele Daten wie möglich zu stehlen.
Der Ruf eines Unternehmens kann schwer beschädigt werden, wenn die Nachricht von einem Zero-Day-Exploit öffentlich wird.
Bei Zero-Day-Angriffen führt ein Bedrohungsakteur einen stufenweisen Angriffsansatz für das Zielnetzwerk durch. Ein Bedrohungsakteur beginnt natürlich mit der Suche nach Schwachstellen. Nachdem der Angreifer auf eine Schwachstelle gestoßen ist und beschließt, dass es sich lohnt, sie auszunutzen, wird er dann Code einsetzen, um die Schwachstelle auszunutzen.
Dann kann der Angreifer die gefährdeten Systeme ausfindig machen und die Infiltration des Netzwerks an diesem identifizierten Einstiegspunkt beginnen. Sollte der Bedrohungsakteur bis zu diesem Punkt unentdeckt geblieben sein, kann er den Angriff vollständig auf das Zielnetzwerk ausrollen, damit er wertvolle Daten ausfindig machen, Lösegeld fordern und/oder an den Höchstbietenden verkaufen kann.
Ein Zero-Day-Angriff könnte von einer Gruppe von Akteuren verübt werden, die als Team zusammenarbeiten, um hochsensible Informationen von ihren Opfern zu stehlen. Oder es könnte sich um einen einzelnen, äußerst versierten Täter handeln, der Dutzende oder Hunderte von Organisationen gleichzeitig kompromittiert, indem er spezifische Tools nutzt, um Schwachstellen auszunutzen.
Laut dem 2024 Attack Intelligence Report von Rapid7 erlangen Schwachstellen, die bei gezielten Zero-Day-Angriffen ausgenutzt werden, oft eine größere Bekanntheit. Dies ist auch nicht verwunderlich, denn es ist für den Ruf eines Unternehmens nie gut, festzustellen, dass sein Netzwerk gerade angegriffen wird – und der Angriff könnte bereits seit einiger Zeit im Gange sein, bevor er entdeckt wird.
Viele Cybersecurity-Forscher verfolgen inzwischen die Zeitspanne zwischen dem Bekanntwerden von Schwachstellen und dem Zeitpunkt, an dem sie zuverlässig als ausgenutzt gemeldet werden. Dieses Zeitfenster wird als „Zeit bis zur bekannten Ausnutzung“ bezeichnet und hat sich in den letzten Jahren vor allem aufgrund von Zero-Day-Angriffen erheblich verkürzt.
Zero-Day-Angriffe sind vielleicht die sensationellsten Cybersecurity-Geschichten der Welt, weil Verteidiger buchstäblich keine Zeit haben, sich auf diese bösartigen Aktionen vorzubereiten.
Das bedeutet, dass sie die größtmöglichen Aufregung und Adrenalinschübe in einer Umgebung auslösen können, in der höchstwahrscheinlich noch vor kurzem alles seinen gewohnten Gang ging. Werfen wir einen Blick auf einige prominente Beispiele für Zero-Day-Angriffe aus der jüngeren Vergangenheit.
Um die schiere Effektivität, Verbreitung und Popularität von Zero-Day-Angriffen bei Bedrohungsakteuren klar zu machen: 53 % der neuen, weit verbreiteten Bedrohungsschwachstellen wurden bis Anfang 2024 ausgenutzt, bevor Softwarehersteller eine Fehlerbehebung durchführen konnten.
Das Erkennen von Zero-Day-Angriffen erfordert eine grundlegende Änderung oder Ergänzung der Praktiken eines SOC. Konkret bedeutet dies, zu proaktiven Maßnahmen überzugehen oder diese einzuführen, um Cybersecurity-Mitarbeitern und Analysten zu ermöglichen, über den Netzwerkperimeter hinaus zu agieren.
Auf diese Weise können sie aktiv Bedrohungen jagen, indem sie bekannte Telemetriedaten abgleichen, die in der breiteren Cybersecurity-Welt als verdächtig eingestuft wurden. Mit Technologien wie der erweiterten Endpunkt-Telemetrie können Teams Logs schnell überprüfen und erhalten eine kritische Sichtbarkeit über alle Endpunktaktivitäten. Werfen wir einen Blick auf einige andere Techniken zur Identifizierung von Zero-Day-Angriffen.
Das Management von Schwachstellen – oder einfach nur deren Erkennung – ist möglicherweise das Wichtigste, was SOCs tun können, um potenzielle Zero-Day-Angriffe zu identifizieren.
Das übergeordnete Ziel besteht natürlich darin, eine kritische Schwachstelle zu identifizieren, bevor sie ausgenutzt werden kann. Aber wenn das nicht in jedem Fall möglich ist, können Teams ein kompetentes Vulnerability Management (VM)-Tool einsetzen, um die Zeit zwischen Ausnutzung und Entdeckung zu verkürzen.
Es hilft, die Netzwerkaktivität zu überwachen, sodass es eine sich ständig weiterentwickelnde Echtzeitaufzeichnung darüber gibt, was in einem Netzwerk passiert. Mit der Network Traffic Analysis (NTA) erhält ein SOC nicht nur eine verbesserte Sichtbarkeit über Geräte im gesamten Netzwerk, sondern kann auch schneller auf Untersuchungen mit detaillierten Informationen und zusätzlichem Netzwerk-Kontext reagieren.
Die Beobachtung und Berichterstattung über verifizierte Indikatoren für Kompromittierung (Indicators of Compromise, IOCs) kann der gesamten Cybersecurity-Community helfen, diese bekannten IOCs zu überprüfen, damit sie sie früher in ihren eigenen Angriffsflächen erkennen können. IOCs sind im Wesentlichen Daten, die bei forensischen Analysen entdeckt werden und Analysten auf vergangene oder laufende Angriffe oder Verstöße aufmerksam machen können.
Um der Prävention von Zero-Day-Angriffen zu dienen, gibt es verschiedene Technologien und/or Methoden, die den Anwendern dabei helfen, im Dunkeln zu sehen. Das Ziel ist es, sichtbar zu machen, was unglaublich schwer zu sehen und zu erkennen ist – damit ein Team schnell handeln und eingreifen kann.
Der Prozess des Sammelns forensischer Beweise für einen vergangenen Angriff kann einem SOC helfen zu verstehen, ob es einen vergangenen Angriff gab, der möglicherweise noch andauert. Digitale Forensik und Incident-Response (DFIR) -Systeme sammeln sowohl diese forensischen Daten, auch bekannt als Artefakte, als auch suchen proaktiv nach potenziellen IOCs.
Für ein Cybersecurity-Team kann der Einsatz von External Attack Surface Management (EASM) sehr effektiv sein, um die internetbasierten Assets des Unternehmens zu überwachen. Eine EASM-Plattform kann überwachen, ob Anmeldeinformationen offengelegt wurden, ob es Fehlkonfigurationen in der öffentlichen Cloud gibt und ob andere Schwachstellen vorhanden sind, die spezifisch für Assets mit einem höheren inhärenten Gefährdungsrisiko sind.
Ein System dieser Art ist eine Art Auffangsystem für die plötzlichsten oder unmittelbar bevorstehenden Bedrohungen, zu denen Zero-Day-Angriffe mit Sicherheit gehören. Im Wesentlichen funktionieren Intrusion Detection and Pprevention-Systeme (IDPS), indem sie den Traffic passiv steuern und anschließend verdächtiges oder bösartiges Verhalten fast sofort blockieren, nachdem es gemeldet wurde.
Mit dieser ultimativen proaktiven Sicherheitsstrategie können Teams versuchen, ihr Netzwerk zu verteidigen, bevor echter Schaden an dessen Perimeter entstehen kann. Durch die Aufrechterhaltung des Echtzeit-Monitoring der Threat Feeds können sich Threat Hunter mit den kursierenden Bedrohungen bestens vertraut machen und ihr Netzwerk für den Fall vorbereiten, dass diese auf sie zukommen.
Fortinet FortiManager CVE-2024-47575 in Zero-Day-Angriffen ausgenutzt