Làm thế nào để bảo vệ bản thân khỏi các cuộc tấn công Zero-day
Khi nói đến các loại tấn công mạng khác nhau, khai thác zero-day là tồi tệ nhất. Tôi kinh hãi chúng và các hacker yêu thích chúng. Khi được khai thác triệt để, lợi nhuận của lỗ hổng zero-day là không thể đo lường được.
Và tất cả những gì bạn phải làm là kiểm tra chi phí khai thác zero-day trên thị trường chợ đen để hiểu giá trị của nó. Trong một trường hợp được phát hiện bởi các nhà nghiên cứu từ một công ty bảo mật có tên Trustwave, một hacker người Nga đang đòi 90.000 USD cho lỗ hổng bảo mật địa phương (LPE) trong Windows.
Việc khai thác hoạt động trên tất cả các phiên bản Windows và sẽ cho phép kẻ tấn công có quyền truy cập từ xa vào hệ thống của nạn nhân và truy cập vào các tài nguyên mà nếu không chúng sẽ không có sẵn.
Ngoài thị trường chợ đen, cũng có những công ty mua lại khai thác hợp pháp sẽ trả giá rất đắt cho lỗ hổng zero-day.
Một trong những cái phổ biến hơn là Zerodium sẵn sàng trả bất cứ nơi nào từ $ 10.000 đến $ 2.500.000 tùy thuộc vào mức độ phổ biến và bảo mật của hệ thống bị ảnh hưởng.
Khai thác zero-day là gì
Đó là cuộc tấn công vào các hệ thống lợi dụng các lỗ hổng bảo mật mà nhà phát triển hệ thống và nhà cung cấp hệ thống chưa biết.
Và đó là những gì làm cho các cuộc tấn công zero-day trở nên tàn khốc. Từ khi lỗ hổng được phát hiện đến khi tạo ra bản sửa lỗi, tin tặc có đủ thời gian để tàn phá hệ thống.
Ngoài ra, vì lỗ hổng bảo mật trước đây chưa được biết đến nên phần mềm chống vi-rút truyền thống sẽ không hiệu quả vì chúng không nhận ra cuộc tấn công là một mối đe dọa. Họ dựa vào các chữ ký phần mềm độc hại đã có trong cơ sở dữ liệu của họ để chặn các cuộc tấn công.
Vì vậy, thời điểm duy nhất mà phần mềm chống vi-rút truyền thống có thể bảo vệ bạn chống lại các cuộc tấn công zero-day là sau khi hacker đã phát triển phần mềm độc hại zero-day và thực hiện một cuộc tấn công ban đầu.
Nhưng đến lúc đó, nó sẽ không còn là mối đe dọa không ngày nào nữa, phải không?
Vì vậy, thay vào đó, tôi khuyên bạn nên làm gì? Có một số bước bạn có thể thực hiện để bảo vệ bản thân khỏi các mối đe dọa trong zero-day và chúng ta sẽ thảo luận về tất cả chúng trong bài đăng này.
Tất cả bắt đầu với việc bạn chuyển sang một phần mềm chống vi-rút thế hệ tiếp theo không dựa vào các phương pháp truyền thống để ngăn chặn các cuộc tấn công.
Cuộc tấn công Stuxnet
Trong khi chúng ta đang nói về việc khai thác zero-day thì tôi sẽ nói với bạn về cuộc tấn công zero-day vĩ đại nhất và được thực hiện xuất sắc nhất. Cuộc tấn công Stuxnet.
Nó nhắm vào một nhà máy Uranium ở Iran và được tạo ra để phá hoại kế hoạch chế tạo vũ khí hạt nhân của Iran. Con sâu được sử dụng trong cuộc tấn công được cho là một nỗ lực hợp tác giữa chính phủ Hoa Kỳ và Israel và khai thác bốn lỗ hổng zero-day trong hệ điều hành Microsoft Windows.
Điều đáng kinh ngạc về cuộc tấn công Stuxnet là nó đã vượt qua lĩnh vực kỹ thuật số và quản lý để gây ra thiệt hại trong thế giới vật lý. Theo báo cáo, nó đã dẫn đến việc phá hủy khoảng 1/5 số máy ly tâm hạt nhân của Iran.
Ngoài ra, con sâu này có chủ đích với mục đích là nó gây ra ít hoặc không gây thiệt hại cho các máy tính không được kết nối trực tiếp với máy ly tâm.
Nó trở nên thú vị hơn. Các nhà máy hạt nhân được lắp đặt trên không có nghĩa là chúng không được kết nối trực tiếp với internet. Vì vậy, những gì những kẻ tấn công đã làm là nhằm vào 5 tổ chức của Iran có liên quan trực tiếp đến dự án hạt nhân và dựa vào chúng để phát tán sâu thông qua các ổ đĩa flash bị nhiễm.
Hai biến thể của sâu Stuxnet đã được phát hiện. Chiếc đầu tiên được sử dụng vào năm 2007 và không bị phát hiện cho đến khi chiếc thứ hai với những cải tiến đáng kể được tung ra vào năm 2010.
Sâu Stuxnet cuối cùng cũng được phát hiện nhưng chỉ do nó vô tình mở rộng phạm vi tấn công ra ngoài nhà máy hạt nhân Natanz.
Cuộc tấn công Stuxnet là một ví dụ về cách các lỗ hổng zero-day có thể bị khai thác bất thường. Nó cũng nêu bật những tác động của các kiểu tấn công này đối với các tập đoàn. Chúng bao gồm mất năng suất, thời gian ngừng hoạt động của hệ thống và mất niềm tin vào tổ chức.
Các cách thông thường hơn mà lỗ hổng zero-day được khai thác bao gồm:
- Đánh cắp dữ liệu nhạy cảm
- Để tải phần mềm độc hại vào hệ thống
- Để truy cập trái phép vào hệ thống
- Cổng cho phần mềm độc hại khác
Ví dụ về các cuộc tấn công zero-day vào năm 2019
Thuốc phiện trong Operation Wizard
Lỗ hổng zero-day này đã được tìm thấy trên Google chrome và nó cho phép tin tặc truy cập trái phép vào hệ thống bị ảnh hưởng.
Ví dụ đầu tiên về lỗ hổng được khai thác đã được phát hiện trên một trang tin tức của Hàn Quốc bởi các giải pháp bảo mật của Kaspersky.
Tin tặc đã tiêm vào trang web mã độc hại có nhiệm vụ xác định xem liệu độc giả truy cập trang web có đang sử dụng phiên bản nhắm mục tiêu của google chrome hay không.
Khai thác không ngày của Whatsapp
Tin tặc đã có thể khai thác một lỗ hổng trên Whatsapp cho phép chúng đưa phần mềm gián điệp vào điện thoại của nạn nhân.
Cuộc tấn công được cho là do một công ty giám sát của Israel có tên là NSO Group thực hiện và nó đã ảnh hưởng đến 1400 người.
Khai thác zero-day trên iOS
Vào tháng 2 năm 2019, Ben Hawkes, một kỹ sư bảo mật tại Google, thông qua tài khoản twitter của mình đã công khai về hai lỗ hổng iOS mà tin tặc đang khai thác.
Tất cả chúng đều được giải quyết trong phiên bản tiếp theo của hệ điều hành cùng với một lỗ hổng khác cho phép người dùng theo dõi người dùng khác chỉ bằng cách bắt đầu cuộc gọi facetime nhóm.
Khai thác Android zero-day
Cuối năm 2019, nhóm dự án 0 của Google đã phát hiện ra một cách khai thác trong Android cho phép những kẻ tấn công truy cập đầy đủ vào nhiều loại điện thoại khác nhau bao gồm Pixel, Samsung, Xiaomi và Huawei.
Các cuộc tấn công này cũng được liên kết với công ty của Israel, NSO nhưng công ty đã phủ nhận.
Các mối đe dọa trong ngày không có trên các trung tâm nhà thông minh
Hai nhân viên có đạo đức đã giành được tổng giải thưởng trị giá 60.000 đô la trong cuộc thi hack Pwn20wn được tổ chức hàng năm sau khi họ khai thác thành công lỗ hổng zero-day trên Amazon Echo.
Họ đã lợi dụng việc khai thác bằng cách kết nối thiết bị Echo với mạng WiFi độc hại. Đối với kẻ xấu, việc khai thác này có thể được sử dụng để theo dõi bạn hoặc vô tình chiếm quyền kiểm soát các thiết bị thông minh trong nhà của bạn.
Hãy xem cách tôi cố tình đưa ra các ví dụ về các cuộc tấn công zero-day nhắm vào các loại hệ thống khác nhau như thế nào? Đó là để chứng minh cho bạn rằng không ai an toàn.
Mối đe dọa hiện thậm chí còn sắp xảy ra hơn với sự phổ biến ngày càng tăng của các thiết bị IoT, vốn không có cách dễ dàng để áp dụng các bản vá. Các nhà phát triển đang tập trung nhiều hơn vào chức năng hơn là bảo mật.
Các biện pháp bạn có thể thực hiện để bảo vệ mình khỏi các cuộc tấn công zero-day
1. Sử dụng các giải pháp Chống vi-rút thế hệ tiếp theo (NGAV)
Không giống như các giải pháp truyền thống, các chương trình NGAV không dựa vào cơ sở dữ liệu hiện có để phát hiện phần mềm độc hại. Thay vào đó, họ phân tích hành vi của một chương trình để xác định xem nó có gây hại cho máy tính hay không.
Để giúp bạn dễ dàng hơn, tôi sẽ giới thiệu cho bạn hai giải pháp NGAV hàng đầu của tôi để sử dụng.
Các chương trình chống vi-rút tốt nhất để bảo vệ bạn trước các cuộc tấn công zero-day
Tôi yêu Bitdefender vì một số lý do. Đầu tiên, đó là một trong số ít các giải pháp bảo mật đã được AV-Test, một tổ chức kiểm tra và đánh giá các giải pháp bảo mật, kiểm tra. Nhiều giải pháp tuyên bố sử dụng các phương pháp phát hiện ít chữ ký nâng cao nhưng đó chỉ là một chiêu trò tiếp thị.
Mặt khác, Bitdefender đã được chứng minh là có thể chặn 99% tất cả các cuộc tấn công zero-day và đã đăng ký số lần dương tính giả ít nhất trong một số thử nghiệm.
Giải pháp chống vi-rút này cũng đi kèm với tính năng chống khai thác tập trung chủ yếu vào các ứng dụng có khả năng bị tấn công và sẽ chủ động phân tích bất kỳ quy trình nào hoạt động trên ứng dụng. Nếu bất kỳ hoạt động đáng ngờ nào được phát hiện thì bạn có thể định cấu hình phần mềm chống vi-rút để tự động chặn hoặc bạn có thể chọn được thông báo để có thể chọn hành động phù hợp.
Phần mềm chống vi-rút này có sẵn trong các gói khác nhau tùy thuộc vào việc bạn đang sử dụng nó trong môi trường gia đình hay cơ quan.
Norton là một bộ bảo mật hoàn chỉnh sẽ hướng dẫn bạn chống lại mọi hình thức tấn công mạng một cách hiệu quả.
Phần mềm chống vi-rút tận dụng cơ sở dữ liệu hiện có về phần mềm độc hại và phân tích hành vi để bảo vệ bạn khỏi các cuộc tấn công đã biết và chưa biết.
Điều đặc biệt hữu ích là Norton đi kèm với tính năng Bảo vệ Khai thác Chủ động (PEP) bổ sung thêm một lớp bảo vệ cho các ứng dụng và hệ thống dễ bị tấn công nhất.
Điều này càng được củng cố bởi công cụ Power tẩy quét máy tính của bạn và xóa mọi ứng dụng có nguy cơ cao và phần mềm độc hại có thể đã lây nhiễm vào máy tính của bạn.
Một khía cạnh ấn tượng khác của Norton là nó tạo ra một môi trường ảo, nơi nó có thể kiểm tra các tệp khác nhau hoạt động như thế nào. Sau đó, nó sử dụng máy học để xác định xem tệp có độc hại hay lành mạnh hay không.
Norton antivirus có sẵn trong bốn gói và mỗi gói đều cung cấp một bộ chức năng riêng.
2. Bảo vệ Khai thác Windows Defender
Thông thường, tôi không phải là người đề xuất các chương trình mặc định của Windows nhưng việc bổ sung Exploit Guard vào trung tâm bảo mật của Windows Defender đã giúp tôi giải quyết vấn đề này.
Bảo vệ khai thác đã được chia thành bốn thành phần chính để giúp bảo vệ chống lại các loại tấn công khác nhau. Đầu tiên là Giảm bề mặt tấn công giúp chặn các cuộc tấn công dựa trên các tệp văn phòng, tập lệnh và email.
Nó cũng đi kèm với một tính năng bảo vệ mạng phân tích tất cả các kết nối đi và sẽ chấm dứt bất kỳ kết nối nào có đích đến đáng ngờ. Nó có thể thực hiện việc này bằng cách phân tích tên máy chủ và địa chỉ IP của điểm đến.
Mặt khác, tính năng này sẽ chỉ hoạt động nếu bạn đang sử dụng Microsoft Edge để duyệt web.
Thành phần khác là Quyền truy cập thư mục được kiểm soát để ngăn chặn các quá trình độc hại truy cập và sửa đổi các thư mục được bảo vệ.
Cuối cùng, bộ phận bảo vệ Exploit cung cấp tính năng giảm thiểu Khai thác hoạt động hợp tác với Bộ bảo vệ chống vi-rút Windows và phần mềm chống vi-rút của bên thứ ba để giảm tác động của việc khai thác tiềm năng lên Ứng dụng và hệ thống.
Bốn thành phần này đã tạo điều kiện thuận lợi cho việc chuyển đổi Windows Defender từ một phần mềm chống vi-rút truyền thống sang một giải pháp bảo mật thế hệ tiếp theo phân tích hành vi của một quy trình để xác định xem nó có độc hại hay không.
Phải thừa nhận rằng Windows Defender không thể thay thế các giải pháp bảo mật cao cấp của bên thứ ba. Tuy nhiên, đó là một lựa chọn tốt nếu bạn có ngân sách cố định.
3. Thường xuyên vá hệ thống của bạn
Nếu một bản vá đã được phát hành thì điều đó có nghĩa là mối đe dọa không còn là 0 ngày nữa vì các nhà phát triển đã nhận thức được sự tồn tại của nó.
Tuy nhiên, điều đó cũng có nghĩa là lỗ hổng bảo mật hiện đã được công bố rộng rãi và bất kỳ ai có kỹ năng cần thiết đều có thể khai thác nó.
Để đảm bảo rằng việc khai thác không thể được sử dụng để chống lại bạn, bạn nên áp dụng bản vá ngay khi nó được phát hành.
Tôi thậm chí khuyên bạn nên định cấu hình hệ thống của mình để chủ động quét các bản vá và tự động áp dụng chúng nếu được tìm thấy. Điều này sẽ loại bỏ bất kỳ sự chậm trễ nào giữa thời gian bản vá được phát hành đến khi bản vá được cài đặt.