Dalam beberapa tahun kebelakangan ini, bilangan dan kecanggihan kerentanan ‘0 day’ telah melonjak, menimbulkan ancaman kritikal kepada organisasi dari semua saiz. Kerentanan sifar hari ialah kecacatan keselamatan dalam perisian yang tidak diketahui oleh vendor dan masih belum ditambal pada masa penemuan. Penyerang mengeksploitasi kelemahan ini sebelum sebarang langkah pertahanan boleh dilaksanakan, menjadikan ‘0 day’ senjata ampuh untuk penjenayah siber.
Contoh terbaru ialah, sebagai contoh, CVE-2024-0519 dalam Google Chrome: kerentanan berketerukan tinggi ini dieksploitasi secara aktif di alam siber dan melibatkan isu akses memori di luar sempadan dalam enjin JavaScript V8. Ia membenarkan penyerang jauh mengakses maklumat sensitif atau mencetuskan ranap dengan mengeksploitasi ‘heap corruption’.
Selain itu, kerentanan ‘0 day’ di Rackspace menyebabkan masalah besar. Insiden ini adalah kelemahan pelaksanaan kod jauh sifar hari dalam aplikasi pemantauan ScienceLogic yang membawa kepada kompromi sistem dalaman Rackspace. Pelanggaran itu mendedahkan maklumat dalaman yang sensitif, menonjolkan risiko yang berkaitan dengan perisian pihak ketiga.
Mengapa Penyelesaian Tradisional Gagal
Penyelesaian keselamatan tradisional seperti Security Information and Event Management (SIEM), Intrusion Detection Systems (IDS) dan Endpoint Detection and Response (EDR) sering bergelut dengan serangan ‘zero day’. Alat ini biasanya bergantung pada peraturan yang telah ditetapkan, tandatangan yang diketahui atau corak tingkah laku untuk mengesan ancaman. Walau bagaimanapun, serangan ‘0 day’ sememangnya baharu, tidak diketahui dan tidak dapat diramalkan, jadi langkah keselamatan reaktif ini tidak mencukupi.
Had alat keselamatan tradisional berpunca daripada pergantungan mereka pada data sejarah dan mekanisme pengesanan statik. Contohnya:
- Sistem SIEM: Mengagregat dan menganalisis data log berdasarkan kriteria yang telah ditetapkan. Jika serangan tidak sepadan dengan tandatangan yang diketahui, serangan itu tidak disedari. Penjanaan sejumlah besar penggera palsu dalam SIEM juga melemahkan keberkesanan pasukan SOC terhadap serangan “sebenar”.
- Alat IDS: Pantau trafik rangkaian untuk aktiviti mencurigakan menggunakan corak yang telah ditetapkan, dan tiada eksploitasi sifar hari yang menggunakan teknik pengelakan baharu.
- Penyelesaian EDR: Bergantung pada tandatangan dan analisis tingkah laku, yang tidak berkesan terhadap kelemahan sifar hari menggunakan vektor serangan baru.
Pendekatan reaktif mereka sering mengakibatkan pengesanan tertangguh—jika ia berlaku sama sekali—meninggalkan organisasi terdedah sehingga selepas kerosakan dilakukan. Lebih-lebih lagi, penyerang lanjutan semakin menggunakan pengeliruan, polimorfisme dan perisian hasad tanpa fail, yang boleh memintas langkah keselamatan tradisional sepenuhnya.
Anda Memerlukan Keselamatan Proaktif: Masukkan Pengesanan dan Respons Rangkaian (NDR)
Memandangkan batasan penyelesaian tradisional, pendekatan proaktif terhadap keselamatan adalah penting. Di sinilah Pengesanan dan Tindak Balas Rangkaian (NDR) dimainkan. Tidak seperti alat konvensional, NDR memanfaatkan pembelajaran mesin dan pengesanan anomali untuk mengenal pasti tingkah laku yang tidak teratur dan aktiviti yang mencurigakan, walaupun tanpa peraturan yang telah ditetapkan.
Dengan terus menganalisis trafik rangkaian dan metadata, NDR boleh mengesan eksploitasi sifar hari lebih awal dengan mengenal pasti sisihan daripada corak biasa. Pendekatan ini mengurangkan risiko impak teruk dengan ketara dengan memberikan amaran awal dan membolehkan tindak balas insiden yang lebih pantas.
Ciri-ciri Utama Penyelesaian NDR yang Berkesan
- Pengesanan Ancaman Masa Nyata: Pemantauan berterusan metadata trafik rangkaian membolehkan NDR mengesan aktiviti yang mencurigakan tanpa bergantung pada tandatangan statik.
- Pembelajaran Mesin Lanjutan: Analisis heuristik dan algoritma dipacu AI mengenal pasti vektor serangan baru, meminimumkan peluang pengesanan terlepas.
- Wawasan Terperinci: NDR memberikan keterlihatan yang mendalam ke dalam aktiviti rangkaian, membolehkan pasukan keselamatan bertindak balas dengan pantas dan tepat kepada ancaman yang muncul.
Sebagai contoh, penyelesaian NDR boleh mengesan saluran Perintah dan Kawalan (C2) yang disediakan oleh penceroboh menggunakan eksploitasi sifar hari dengan memanfaatkan keupayaan utama ini: pertama, penyelesaian itu memantau semua trafik rangkaian secara berterusan, termasuk metadata seperti sumber dan destinasi IP, masa sambungan dan volum trafik. Jika penceroboh mewujudkan saluran C2, walaupun menggunakan saluran yang disulitkan, NDR boleh mengesan corak yang mencurigakan seperti trafik keluar luar biasa, lonjakan yang tidak dijangka atau komunikasi dengan IP luaran yang jarang berlaku atau baharu. Jika eksploitasi sifar hari digunakan untuk menyusup ke rangkaian, komunikasi C2 berikutnya selalunya akan menunjukkan tingkah laku anomali seperti suar, pemindahan bersaiz tidak teratur atau pemasaan tertentu (cth isyarat “rumah telefon”).
Dengan bantuan algoritma dipacu AI, NDR boleh menganalisis corak trafik dan mengesan walaupun penyelewengan kecil daripada gelagat rangkaian asas. Apabila menyediakan saluran C2, alat ini boleh mengecam urutan perintah atipikal, aliran trafik atau protokol komunikasi yang luar biasa. Banyak saluran C2 menggunakan teknik seperti algoritma penjanaan domain (DGA) atau terowong DNS untuk mengelirukan komunikasi.
Penyelesaian NDR yang berkesan dengan pembelajaran mesin boleh mengesan kekeliruan sedemikian dengan mengenali pertanyaan DNS bukan standard atau corak domain rawak yang berbeza daripada trafik biasa. Dengan mengaitkan berbilang penunjuk—seperti trafik luar biasa selepas perubahan sistem (cth eksploitasi ‘0 day’ yang tidak dipadankan)—NDR boleh mengenal pasti persediaan C2 yang berpotensi.
Contohnya, jika peranti tiba-tiba berkomunikasi dengan hos luaran selepas melaksanakan muatan sifar hari, aktiviti luar biasa ini akan mencetuskan makluman untuk siasatan lanjut. Jika penyerang menggunakan eksploitasi ‘0 day’ untuk menembusi sistem dan mewujudkan saluran C2 melalui teknik tersembunyi seperti terowong DNS, penyelesaian NDR boleh mengesan pertanyaan DNS yang tidak teratur dengan corak yang menyimpang daripada tingkah laku pertanyaan biasa (cth, nama subdomain yang sangat panjang. , selang pertanyaan pantas).
NDR juga memantau sambungan ke alamat IP luaran baharu atau jarang berlaku yang syarikat itu tidak pernah berinteraksi sebelum ini dan menganalisis anomali dalam trafik yang menunjukkan percubaan pada exfiltration data atau arahan kepada sistem yang terjejas.