Nollapäivän haavoittuvuudet: miten voit valmistautua odottamattomiin?
Sisällysluettelo:
- 1) Nollapäivän uhan ymmärtäminen
- 2) Nollapäivän hyökkäysten kehitys
- 3) Miksi nollapäivän haavoittuvuuksilla on edelleen merkitystä?
- 4) Mitä organisaatiot voivat tehdä suojautuakseen nollapäiviltä?
- 5) ISO 27001:n rooli nollapäivän riskien torjunnassa
- 6) Kuinka ISO 27001 auttaa rakentamaan kyberkestävyyttä
- 7) Organisaatiosi valmisteleminen seuraavaa nollapäivän hyökkäystä varten
Globaalien kyberturvallisuusvirastojen varoitukset osoittivat, kuinka usein haavoittuvuuksia hyödynnetään nollapäivinä. Kuinka voit olla varma, että sinulla on sopiva suojaustaso ja riittävätkö olemassa olevat puitteet tällaisen arvaamattoman hyökkäyksen edessä?
Nollapäivän uhan ymmärtäminen
Kyberturvallisuuspuhuja ja -tutkija The Grugqista on kulunut melkein kymmenen vuotta. totesi, "Anna miehelle nollapäivä, niin hän pääsee päiväksi; opeta mies kalastamaan, niin hän pääsee elämään."
Tämä linja tuli puolivälissä vuosikymmenen, joka oli alkanut Stuxnet virus ja käytti useita nollapäivän haavoittuvuuksia. Tämä johti pelkoon näistä tuntemattomista haavoittuvuuksista, joita hyökkääjät käyttävät kertaluonteiseen hyökkäykseen infrastruktuuria tai ohjelmistoja vastaan ja joihin valmistautuminen oli ilmeisesti mahdotonta.
Nollapäivän haavoittuvuus on sellainen, jossa korjaustiedostoa ei ole saatavilla, ja usein ohjelmiston toimittaja ei tiedä virheestä. Kerran käytetty virhe on kuitenkin tiedossa ja se voidaan korjata, jolloin hyökkääjälle annetaan yksi mahdollisuus hyödyntää sitä.
Nollapäivän hyökkäysten kehitys
Koska hyökkäysten kehittyneisyys väheni 2010-luvun lopulla ja lunnasohjelmia, tunnistetietojen täyttämishyökkäyksiä ja tietojenkalasteluyrityksiä käytettiin useammin, saattaa tuntua, että nollapäivän ikä on ohi.
Nollapäiviä ei kuitenkaan ole aika hylätä. Tilastot osoittavat, että vuonna 97 hyödynnettiin luonnossa 2023 nollapäivän haavoittuvuutta, yli 50 prosenttia enemmän kuin vuonna 2022. Kansallisille kyberturvallisuusvirastoille oli kypsä aika antaa varoituksen noin hyväksikäytetyistä nollapäivistä.
Marraskuussa Ison-Britannian kansallinen kyberturvallisuuskeskus (NCSC) – yhdessä Australian, Kanadan, Uuden-Seelannin ja Yhdysvaltojen virastojen kanssa – jakoi luettelon 15 suurimmasta rutiininomaisesti hyödynnetystä haavoittuvuudesta vuonna 2023.
Miksi nollapäivän haavoittuvuuksilla on edelleen merkitystä?
Vuonna 2023 suurin osa näistä haavoittuvuuksista hyödynnettiin alun perin nollapäivinä, mikä on merkittävä kasvu vuodesta 2022, jolloin alle puolet haavoittuvuuksista käytettiin varhain.
Stefan Tanase, CSIS:n kybertiedustelun asiantuntija, sanoo: "Nollapäivät eivät ole enää vain vakoilun työkaluja; ne ruokkivat laajamittaista kyberrikollisuutta." Hän mainitsee nollapäivän hyväksikäytön Cleo-tiedostonsiirtoratkaisut Clop ransomware -jengi murtaa yritysverkkoja ja varastaa tietoja yhtenä viimeisimmistä esimerkeistä.
Mitä organisaatiot voivat tehdä suojautuakseen nollapäiviltä?
Tiedämme siis, mikä ongelma on, miten ratkaisemme sen? NCSC:n neuvonta kannusti voimakkaasti yritysverkkojen puolustajia pysymään valppaina haavoittuvuuksien hallintaprosesseissaan, mukaan lukien kaikkien tietoturvapäivitysten nopea asentaminen ja varmistaminen, että he ovat tunnistaneet kaikki omaisuus omaisuudessaan.
Ollie Whitehouse, NCSC:n teknologiajohtaja, sanoi, että kompromissiriskin vähentämiseksi organisaatioiden tulisi "pysyä eturintamassa" asentamalla korjaustiedostoja nopeasti, vaatimalla suojattuja suunnittelutuotteita ja olemaan valppaita haavoittuvuuksien hallinnassa.
Siksi puolustautuminen hyökkäyksiltä, joissa käytetään nollapäivää, vaatii luotettavan hallintokehyksen, jossa yhdistyvät nämä suojatekijät. Jos olet varma riskinhallinta-asennostasi, voitko olla varma selviytyäksesi tällaisesta hyökkäyksestä?
ISO 27001:n rooli nollapäivän riskien torjunnassa
ISO 27001 tarjoaa mahdollisuuden varmistaa tietoturva- ja joustavuustasosi. Liitteessä A. 12.6, "Teknisten haavoittuvuuksien hallinta", todetaan, että tiedot käytettyjen tietojärjestelmien teknisistä haavoittuvuuksista on hankittava viipymättä, jotta voidaan arvioida organisaation riskialtistus tällaisille haavoittuvuuksille. Yhtiön tulee myös ryhtyä toimenpiteisiin tämän riskin pienentämiseksi.
Vaikka ISO 27001 ei voi ennustaa nollapäivän haavoittuvuuksien käyttöä tai estää niitä käyttäviä hyökkäyksiä, Tanase sanoo, että sen kattava lähestymistapa riskienhallintaan ja turvallisuusvalmiuksiin auttaa organisaatioita kestämään paremmin näiden tuntemattomien uhkien aiheuttamia haasteita.
Kuinka ISO 27001 auttaa rakentamaan kyberkestävyyttä
ISO 27001 antaa sinulle perustan riskienhallinta- ja tietoturvaprosesseissa, joiden pitäisi valmistautua vakavimpiin hyökkäyksiin. Andrew Rose, entinen CISO ja analyytikko ja nyt SoSafen turvallisuuspäällikkö, on ottanut käyttöön 27001:n kolmessa organisaatiossa ja sanoo: "Se ei takaa, että olet turvassa, mutta se takaa, että sinulla on oikeat prosessit turvata sinut."
Rose kutsuu sitä "jatkuvaksi parannusmoottoriksi", ja se toimii silmukassa, jossa etsit haavoittuvuuksia, keräät uhkatietoa, laitat ne riskirekisteriin ja käytät tätä riskirekisteriä turvallisuuden parantamissuunnitelman luomiseen. Sitten otat sen johtajille ja ryhdyt toimiin asioiden korjaamiseksi tai riskien hyväksymiseksi.
Hän sanoo: ”Se tuo kaiken hyvän hallinnon, jonka tarvitset ollaksesi turvassa tai saada valvontaa, kaiken riskinarvioinnin ja riskianalyysin. Kaikki nämä asiat ovat paikoillaan, joten se on erinomainen malli rakennettavaksi."
ISO 27001 -standardin ohjeiden noudattaminen ja työskentely auditoijan, kuten ISMS:n, kanssa varmistaaksesi, että puutteet korjataan ja prosessisi ovat kunnossa, on paras tapa varmistaa, että olet parhaiten valmistautunut.
Organisaatiosi valmisteleminen seuraavaa nollapäivän hyökkäystä varten
Alvearium Associatesin perustaja ja tärkein tietoturvastrategi Christian Toon sanoi, että ISO 27001 on puitteet turvallisuuden hallintajärjestelmän rakentamiselle ja käyttää sitä ohjeena.
"Voit linjata itsesi standardin kanssa ja tehdä ja valita haluamasi bitit", hän sanoi. "Kyse on määritellä, mikä on oikein yrityksellesi tämän standardin puitteissa."
Onko olemassa jokin ISO 27001 -standardin noudattamisen elementti, joka voi auttaa käsittelemään nollapäivää? Toon sanoo, että se on onnenpeli, kun kyse on puolustamisesta hyväksikäytettyä nollapäivää vastaan. Yhtenä vaiheena on kuitenkin oltava organisaation saaminen vaatimustenmukaisuusaloitteen taakse.
Hän sanoo, että jos yrityksellä ei ole koskaan ollut suuria kyberongelmia aiemmin ja "suurimmat ongelmat, joita sinulla on todennäköisesti ollut, ovat pari tilien haltuunottoa", valmistautuminen "isoon lippuun" - kuten nollapäivän korjaamiseen - saa yrityksen ymmärtämään, että sen on tehtävä enemmän.
Toon sanoo, että tämä saa yritykset investoimaan enemmän vaatimustenmukaisuuteen ja kestävyyteen, ja ISO 27001 -standardin kaltaiset puitteet ovat osa "organisaatioita, jotka kantavat riskin". Hän sanoo: "He ovat melko iloisia nähdessään sen hieman matalan tason vaatimustenmukaisuuden asiana", ja tämä johtaa investointeihin.
Tanase sanoi, että ISO 27001:n osa vaatii organisaatioita suorittamaan säännöllisiä riskiarviointeja, mukaan lukien haavoittuvuuksien tunnistaminen - jopa tuntemattomien tai uusien - ja valvontatoimien toteuttaminen altistumisen vähentämiseksi.
"Standardissa edellytetään vankat häiriötilanteita ja liiketoiminnan jatkuvuussuunnitelmat", hän sanoi. "Nämä prosessit varmistavat, että jos nollapäivän haavoittuvuutta hyödynnetään, organisaatio voi reagoida nopeasti, hillitä hyökkäystä ja minimoida vahingot."
ISO 27001 -kehys koostuu neuvoista, joilla varmistetaan yrityksen ennakoiva toiminta. Paras askel on olla valmis käsittelemään tapausta, olemaan tietoinen siitä, mikä ohjelmisto on käynnissä ja missä, ja hallita tiukkaa hallintoa.
