נול-טאָג וואַלנעראַביליטיז: ווי קענען איר צוגרייטן פֿאַר די אומגעריכט?

וואָרנינגז פון גלאבאלע סייבערסעקוריטי יידזשאַנסיז געוויזן ווי וואַלנעראַביליטיז זענען אָפט עקספּלויטאַד ווי נול-טעג. אין דעם פּנים פון אַזאַ אַן אַנפּרידיקטאַבאַל באַפאַלן, ווי קענען איר זיין זיכער אַז איר האָט אַ פּאַסיק שוץ מדרגה און צי די יגזיסטינג פראַמעוואָרקס זענען גענוג? 

פארשטאנד די נול-טאָג סאַקאָנע

עס איז געווען כּמעט צען יאָר זינט סייבערסעקוריטי רעדנער און פאָרשער 'די גרוגק' סטייטיד, „גיב א מאן א נול־טאג, און ער וועט האבן צוטריט פאר א טאג; לערנען אַ מענטש צו פיש, און ער וועט האָבן צוטריט פֿאַר לעבן.

די שורה איז געקומען אין די מיטן פון אַ יאָרצענדלינג וואָס האט אנגעהויבן מיט די Stuxnet ווירוס און געוויינט קייפל נול-טאָג וואַלנעראַביליטיז. דאָס האָט געפֿירט צו אַ מורא פון די אומבאַקאַנט וואַלנעראַביליטיז, וואָס אַטאַקערז נוצן פֿאַר אַ איין-אַוועק באַפאַלן אויף ינפראַסטראַקטשער אָדער ווייכווארג און פֿאַר וואָס צוגרייטונג איז משמעות אוממעגלעך.

א נול-טאָג וואַלנעראַביליטי איז איינער אין וואָס קיין לאַטע איז בנימצא, און אָפט דער ווייכווארג פאַרקויפער קען נישט וויסן וועגן דעם פלאָ. אַמאָל געוויינט, אָבער, די פלאָ איז באַוווסט און קענען זיין פּאַטשט, געבן די אַטאַקער אַ איין געלעגנהייט צו גווורע עס.

די עוואַלושאַן פון נול-טאָג אַטאַקס

ווי די סאַפיסטאַקיישאַן פון אנפאלן רידוסט אין די שפּעטער 2010 ס און ראַנסאָמוואַרע, קראַדענטשאַל סטאַפינג אנפאלן, און פישינג פרווון זענען געניצט מער אָפט, עס קען פילן ווי די עלטער פון די נול-טאָג איז איבער.

אָבער, עס איז קיין צייט צו אָפּזאָגן נול-טעג. סטאַטיסטיק ווייַזן אַז 97 נול-טאָג וואַלנעראַביליטיז זענען עקספּלויטאַד אין די ווילד אין 2023, איבער 50 פּראָצענט מער ווי אין 2022. עס איז געווען אַ רייפּ צייט פֿאַר נאציאנאלע סייבערסעקוריטי יידזשאַנסיז צו אַרויסגעבן אַ ווארענונג וועגן עקספּלויטאַד נול-טעג.

אין נאוועמבער, די וק ס נאַשאַנאַל סייבער סעקוריטי צענטער (NCSC) - צוזאמען מיט יידזשאַנסיז פון אויסטראַליע, קאַנאַדע, ניו זילאַנד און די פאַרייניקטע שטאַטן - שערד אַ רשימה פון די שפּיץ 15 רוטינלי עקספּלויטאַד וואַלנעראַביליטיז אין 2023.

פארוואס נול-טאָג וואַלנעראַביליטיז נאָך ענין

אין 2023, די מערהייט פון די וואַלנעראַביליטיז זענען טכילעס עקספּלויטאַד ווי נול-טעג, אַ באַטייטיק פאַרגרעסערן פֿון 2022, ווען ווייניקערע ווי האַלב פון די שפּיץ וואַלנעראַביליטיז זענען עקספּלויטאַד פרי.

Stefan Tanase, אַ סייבער סייכל עקספּערט ביי CSIS, זאגט, "נול טעג זענען ניט מער בלויז מכשירים פון שפּיאָנאַזש; זיי פירן צו גרויס-וואָג סייבערקריימז. ” ער ציטירט די גווורע פון ​​נול-טעג אין קלעאָ טעקע אַריבערפירן סאַלושאַנז דורך די קלאָפּ ראַנסאָמוואַרע באַנדע צו ברעכן פֿירמע נעטוואָרקס און גאַנווענען דאַטן ווי איינער פון די לעצטע ביישפילן.

וואָס קענען אָרגאַנאַזיישאַנז טאָן צו באַשיצן קעגן נול-טעג?

אַזוי, מיר וויסן וואָס די פּראָבלעם איז, ווי טאָן מיר סאָלווע עס? די NCSC אַדווייזערי שטארק ינקעראַדזשד פאַרנעמונג נעץ דיפענדערז צו האַלטן ווידזשאַלאַנס מיט זייער וואַלנעראַביליטי פאַרוואַלטונג פּראַסעסאַז, אַרייַנגערעכנט אַפּלייינג אַלע זיכערהייט דערהייַנטיקונגען גלייך און ינשורינג זיי האָבן יידענאַפייד אַלע אַסעץ אין זייער יסטייץ.

Ollie Whitehouse, NCSC הויפּט טעכנאָלאָגיע אָפיציר, האט געזאגט אַז צו רעדוצירן די ריזיקירן פון קאָמפּראָמיס, אָרגאַנאַזיישאַנז זאָל "בלייבן אויף די פראָנט פֿיס" דורך אַפּלייינג פּאַטשאַז גלייך, ינסיסטינג אויף זיכער-דורך-פּלאַן פּראָדוקטן און זיין ווידזשאַלאַנט מיט וואַלנעראַביליטי פאַרוואַלטונג.

דעריבער, דיפענדינג קעגן אַ באַפאַלן אין וואָס אַ נול-טאָג איז געניצט ריקווייערז אַ פאַרלאָזלעך גאַווערנאַנס פריימווערק וואָס קאַמביינז די פּראַטעקטיוו סיבות. אויב איר זענט זיכער אין דיין ריזיקירן פאַרוואַלטונג האַלטנ זיך, קענען איר זיין זיכער אין סערווייווינג אַזאַ אַ באַפאַלן?

די ראָלע פון ​​ISO 27001 אין קאַמבאַטינג נול-טאָג ריסקס

ISO 27001 אָפפערס אַ געלעגנהייט צו ענשור דיין זיכערהייט און ריזיליאַנס מדרגה. אַנעקס א. 12.6, 'פאַרוואַלטונג פון טעכניש וואַלנעראַביליטיז,' זאגט אַז אינפֿאָרמאַציע אויף טעקנאַלאַדזשיקאַל וואַלנעראַביליטיז פון אינפֿאָרמאַציע סיסטעמען געניצט זאָל זיין באקומען גלייך צו אָפּשאַצן די אָרגאַניזאַציע ס ריזיקירן ויסשטעלן צו אַזאַ וואַלנעראַביליטיז. די פירמע זאָל אויך נעמען מיטלען צו פאַרמינערן די ריזיקירן.

כאָטש ISO 27001 קען נישט פאָרויסזאָגן די נוצן פון נול-טאָג וואַלנעראַביליטיז אָדער פאַרמייַדן אַ באַפאַלן ניצן זיי, טאַנאַסע זאגט אַז זיין פולשטענדיק צוגאַנג צו ריזיקירן פאַרוואַלטונג און זיכערהייט פּריפּעראַדנאַס יקוויפּס אָרגאַנאַזיישאַנז צו בעסער וויטסטאַנד די טשאַלאַנדזשיז געשטעלט דורך די אומבאַקאַנט טרעץ.

ווי ISO 27001 העלפּס בויען סייבער ריזיליאַנס

ISO 27001 גיט איר די יסוד אין ריזיקירן פאַרוואַלטונג און זיכערהייט פּראַסעסאַז וואָס זאָל צוגרייטן איר פֿאַר די מערסט שטרענג אנפאלן. ענדרו רויז, א געוועזענער CISO און אַנאַליסט און איצט הויפט זיכערהייט אָפיציר פון SoSafe, האָט ימפּלאַמענאַד 27001 אין דריי אָרגאַנאַזיישאַנז און זאגט, "עס גאַראַנטירן נישט אַז איר זענט זיכער, אָבער עס גאַראַנטירן אַז איר האָט די רעכט פּראַסעסאַז אין פּלאַץ. מאַכן איר זיכער."

רוף עס "אַ קעסיידערדיק פֿאַרבעסערונג מאָטאָר," רויז זאגט אַז עס אַרבעט אין אַ שלייף ווו איר זוכט פֿאַר וואַלנעראַביליטיז, קלייַבן סאַקאָנע סייכל, שטעלן עס אויף אַ ריזיקירן רעגיסטרירן און נוצן דעם ריזיקירן רעגיסטרירן צו שאַפֿן אַ זיכערהייט פֿאַרבעסערונג פּלאַן. דערנאָך, איר נעמען דאָס צו די יגזעקיאַטיווז און נעמען קאַמף צו פאַרריכטן טינגז אָדער אָננעמען די ריסקס.

ער זאגט, "עס שטעלן אין אַלע די גוט גאַווערנאַנס אַז איר דאַרפֿן צו זיין זיכער אָדער באַקומען אָוווערסייץ, אַלע די ריזיקירן אַסעסמאַנט און די ריזיקירן אַנאַליסיס. אַלע די טינגז זענען אין פּלאַץ, אַזוי עס איז אַ ויסגעצייכנט מאָדעל צו בויען. ”

לויט די גיידליינז פון ISO 27001 און ארבעטן מיט אַן אָדיטאָר אַזאַ ווי ISMS צו ענשור אַז די גאַפּס זענען אַדרעסד און דיין פּראַסעסאַז זענען געזונט איז דער בעסטער וועג צו ענשור אַז איר זענט בעסטער צוגעגרייט.

פּריפּערינג דיין אָרגאַניזאַציע פֿאַר די ווייַטער נול-טאָג אַטאַק

Christian Toon, גרינדער און הויפּט זיכערהייט סטראַטעג אין Alvearium Associates, האָט געזאָגט אַז ISO 27001 איז אַ פריימווערק פֿאַר בויען דיין זיכערהייט פאַרוואַלטונג סיסטעם, ניצן עס ווי גיידאַנס.

"איר קענען ייַנרייען זיך מיט די נאָרמאַל און טאָן און קלייַבן די ביטן איר ווילן צו טאָן," ער האט געזאגט. "עס איז וועגן דיפיינינג וואָס איז רעכט פֿאַר דיין געשעפט אין דעם נאָרמאַל."

איז עס אַן עלעמענט פון העסקעם מיט ISO 27001 וואָס קענען העלפֿן צו האַנדלען מיט נול טעג? Toon זאגט אַז עס איז אַ שפּיל פון געלעגנהייַט ווען עס קומט צו באַשיצן קעגן אַ עקספּלויטאַד נול-טאָג. אָבער, איין שריט איז צו אַרייַנציען די אָרגאַניזאַציע הינטער די העסקעם איניציאטיוו.

ער זאגט אז אויב א פירמע האט קיינמאל נישט געהאט קיין גרויסע סייבער ישוז אין דער פאַרגאַנגענהייַט און "די ביגאַסט ישוז וואָס איר האָט מיסטאָמע געהאט זענען אַ פּאָר פון חשבון נעמען," דעמאָלט פּריפּערינג פֿאַר אַ 'גרויס בילעט' נומער - ווי פּאַטטשינג אַ נול-טאָג - וועט מאַכן די פירמע פאַרשטיין אַז עס דאַרף צו טאָן מער.

Toon זאגט אַז דאָס פירט קאָמפּאַניעס צו ינוועסטירן מער אין העסקעם און ריזיליאַנס, און פראַמעוואָרקס אַזאַ ווי ISO 27001 זענען טייל פון "אָרגאַנאַזיישאַנז וואָס פירן די ריזיקירן." ער זאגט, "זיי זענען גאַנץ צופרידן צו זען עס ווי אַ ביסל פון אַ נידעריק-מדרגה העסקעם," און דאָס רעזולטאַטן אין ינוועסמאַנט.

Tanase האט געזאגט אַז טייל פון ISO 27001 ריקווייערז אָרגאַנאַזיישאַנז צו דורכפירן רעגולער ריזיקירן אַסעסמאַנץ, אַרייַנגערעכנט ידענטיפיינג וואַלנעראַביליטיז - אפילו די אומבאַקאַנט אָדער ימערדזשינג - און ימפּלאַמענינג קאָנטראָלס צו רעדוצירן ויסשטעלן.

"דער סטאַנדאַרט מאַנדייץ שטאַרק ינסידענט ענטפער און געשעפט קאַנטיניויישאַן פּלאַנז," ער האט געזאגט. "די פּראַסעסאַז ענשור אַז אויב אַ נול-טאָג וואַלנעראַביליטי איז עקספּלויטאַד, די אָרגאַניזאַציע קענען ריספּאַנד געשווינד, אַנטהאַלטן די באַפאַלן און מינאַמייז שעדיקן."

די ISO 27001 פריימווערק באשטייט פון עצה צו ענשור אַז אַ פירמע איז פּראָואַקטיוו. דער בעסטער שריט צו נעמען איז צו זיין גרייט צו האַנדלען מיט אַן אינצידענט, זיין אַווער פון וואָס ווייכווארג איז פליסנדיק און ווו, און האָבן אַ פעסט שעפּן אויף גאַווערנאַנס.