Zero-Day sårbarheder: Hvordan kan du forberede dig på det uventede?

Advarsler fra globale cybersikkerhedsbureauer viste, hvordan sårbarheder ofte bliver udnyttet som nul-dage. I lyset af et så uforudsigeligt angreb, hvordan kan du så være sikker på, at du har et passende beskyttelsesniveau, og om eksisterende rammer er nok? 

Forståelse af Zero-Day-truslen

Det er næsten ti år siden, cybersikkerhedstaler og -forsker 'The Grugq' erklærede, "Giv en mand en nul-dag, og han vil have adgang i en dag; Lær en mand at phishe, og han vil have adgang for livet."

Denne linje kom midtvejs i et årti, der var begyndt med Stuxnet virus og brugte flere nul-dages sårbarheder. Dette førte til frygt for disse ukendte sårbarheder, som angribere bruger til et engangsangreb på infrastruktur eller software, og som forberedelse tilsyneladende var umulig.

En nul-dages sårbarhed er en sårbarhed, hvor ingen patch er tilgængelig, og ofte kender softwareleverandøren ikke til fejlen. Når den først er brugt, er fejlen dog kendt og kan lappes, hvilket giver angriberen en enkelt chance for at udnytte den.

Udviklingen af ​​Zero-Day-angreb

Efterhånden som sofistikeringen af ​​angreb blev reduceret i de senere 2010'er, og ransomware, angreb på legitimationsoplysninger og phishing-forsøg blev brugt hyppigere, kan det føles som om nuldagens tidsalder er forbi.

Det er dog ikke tid til at afvise nul-dage. Statistikker viser, at 97 nul-dages sårbarheder blev udnyttet i naturen i 2023, over 50 procent flere end i 2022. Det var en moden tid for nationale cybersikkerhedsagenturer at udsende en advarsel om udnyttede nul-dage.

I november, Storbritanniens National Cyber ​​Security Center (NCSC) – sammen med agenturer fra Australien, Canada, New Zealand og USA – delte en liste af de 15 mest rutinemæssigt udnyttede sårbarheder i 2023.

Hvorfor Zero-Day sårbarheder stadig betyder noget

I 2023 blev størstedelen af ​​disse sårbarheder oprindeligt udnyttet som nul-dage, en betydelig stigning fra 2022, hvor færre end halvdelen af ​​de største sårbarheder blev udnyttet tidligt.

Stefan Tanase, en cyberintelligensekspert hos CSIS, siger: "Zero-days er ikke længere kun redskaber til spionage; de giver næring til storstilet cyberkriminalitet." Han citerer udnyttelsen af ​​zero-days i Cleo filoverførselsløsninger af Clop ransomware-banden for at bryde virksomhedens netværk og stjæle data som et af de seneste eksempler.

Hvad kan organisationer gøre for at beskytte mod nul-dage?

Så vi ved, hvad problemet er, hvordan løser vi det? NCSC-rådgivningen opfordrede stærkt virksomhedsnetværksforsvarere til at opretholde årvågenhed med deres sårbarhedshåndteringsprocesser, herunder at anvende alle sikkerhedsopdateringer omgående og sikre, at de har identificeret alle aktiver i deres ejendom.

Ollie Whitehouse, NCSC Chief Technology Officer, sagde, at for at reducere risikoen for kompromis, bør organisationer "blive på forreste fod" ved at anvende patches omgående, insistere på sikre-by-design-produkter og være årvågne med sårbarhedshåndtering.

Derfor kræver forsvar mod et angreb, hvor en nul-dag bruges, en pålidelig styringsramme, der kombinerer disse beskyttende faktorer. Hvis du er sikker på din risikostyringsstilling, kan du så være sikker på at overleve et sådant angreb?

ISO 27001's rolle i bekæmpelsen af ​​nul-dages risici

ISO 27001 giver mulighed for at sikre dit niveau af sikkerhed og robusthed. Bilag A. 12.6, 'Styring af tekniske sårbarheder', angiver, at information om teknologiske sårbarheder i de anvendte informationssystemer skal indhentes omgående for at evaluere organisationens risikoeksponering for sådanne sårbarheder. Virksomheden bør også træffe foranstaltninger for at mindske denne risiko.

Mens ISO 27001 ikke kan forudsige brugen af ​​nul-dages sårbarheder eller forhindre et angreb ved at bruge dem, siger Tanase, at dens omfattende tilgang til risikostyring og sikkerhedsberedskab ruster organisationer til bedre at modstå de udfordringer, som disse ukendte trusler udgør.

Hvordan ISO 27001 hjælper med at opbygge cyberresiliens

ISO 27001 giver dig grundlaget i risikostyring og sikkerhedsprocesser, der skal forberede dig på de mest alvorlige angreb. Andrew Rose, en tidligere CISO og analytiker og nu sikkerhedschef i SoSafe, har implementeret 27001 i tre organisationer og siger: "Det garanterer ikke, at du er sikker, men det garanterer, at du har de rigtige processer på plads til at gøre dig sikker."

Rose kalder det "en kontinuerlig forbedringsmotor", og siger, at den fungerer i en løkke, hvor du leder efter sårbarheder, samler trusselsintelligens, sætter den i et risikoregister og bruger risikoregisteret til at oprette en sikkerhedsforbedringsplan. Derefter tager du det til lederne og tager skridt til at rette op på tingene eller acceptere risiciene.

Han siger: "Det lægger al den gode regeringsførelse i, at du skal være sikker eller få tilsyn, al risikovurderingen og risikoanalysen. Alle de ting er på plads, så det er en fremragende model at bygge.”

At følge retningslinjerne i ISO 27001 og arbejde med en revisor såsom ISMS for at sikre, at hullerne bliver løst, og at dine processer er sunde, er den bedste måde at sikre, at du er bedst forberedt.

Forberedelse af din organisation til det næste Zero-Day-angreb

Christian Toon, grundlægger og ledende sikkerhedsstrateg hos Alvearium Associates, sagde, at ISO 27001 er en ramme for opbygning af dit sikkerhedsstyringssystem, ved at bruge det som vejledning.

"Du kan tilpasse dig standarden og gøre og vælge de ting, du vil gøre," sagde han. "Det handler om at definere, hvad der er rigtigt for din virksomhed inden for den standard."

Er der et element af overholdelse af ISO 27001, der kan hjælpe med at håndtere nul dage? Toon siger, at det er et chancespil, når det kommer til at forsvare sig mod en udnyttet nul-dag. Et skridt skal dog involvere at have organisationen bag compliance-initiativet.

Han siger, at hvis et firma aldrig har haft nogen store cyberproblemer tidligere, og "de største problemer, du sandsynligvis har haft, er et par kontoovertagelser", så forbereder du dig på en 'stor billet'-vare – som at lappe en nul-dag – vil få virksomheden til at indse, at den skal gøre mere.

Toon siger, at dette får virksomheder til at investere mere i compliance og robusthed, og rammer som ISO 27001 er en del af "organisationer, der løber risikoen." Han siger: "De er ret glade for at se det som lidt af en overholdelsesting på lavt niveau," og det resulterer i investeringer.

Tanase sagde, at en del af ISO 27001 kræver, at organisationer udfører regelmæssige risikovurderinger, herunder identificering af sårbarheder – selv de ukendte eller dukker op – og implementerer kontroller for at reducere eksponeringen.

"Standarden kræver robuste hændelsesrespons og forretningskontinuitetsplaner," sagde han. "Disse processer sikrer, at hvis en nul-dages sårbarhed udnyttes, kan organisationen reagere hurtigt, begrænse angrebet og minimere skader."

ISO 27001-rammen består af rådgivning for at sikre, at en virksomhed er proaktiv. Det bedste skridt at tage er at være klar til at håndtere en hændelse, være opmærksom på, hvilken software der kører og hvor, og have et fast greb om styring.