Ataques de Día Cero

¿Qué son las vulnerabilidades de día cero?

Las vulnerabilidades de día cero son fallas de seguridad desconocidas o errores en software, firmware o hardware que el proveedor no conoce, o no tiene un parche o actualización oficial para abordar la vulnerabilidad. A menudo, los proveedores y los usuarios no son conscientes de la existencia de una vulnerabilidad a menos que un investigador lo informe o se descubra como resultado de un ataque.

¿Qué son los ataques de día cero?

\ Cuando los malos actores son capaces de desarrollar e implementar con éxito malware que explota una vulnerabilidad de día cero, luego ese malware se convierte en un ataque de día cero. Como resultado de explotar la vulnerabilidad, los malos actores obtienen acceso no autorizado a datos confidenciales y/o sistemas críticos.

¿Qué es un exploit de día cero?

Un exploit de día cero es la técnica que utilizan los malos actores para atacar los sistemas que tienen la vulnerabilidad. Los investigadores utilizan exploits para demostrar el impacto de 'explotar' la falla para obtener acceso no autorizado o comprometer el sistema subyacente.

Los exploits de día cero reciben su nombre porque se conocen públicamente desde hace cero días. Es posible que los actores maliciosos creen exploits y esperen a usarlos estratégicamente. En este caso, a pesar de que el atacante conoce el exploit, aún no se conoce públicamente, y todavía se considera un exploit de día cero.

Según el Instituto Ponemon, el 80% de las brechas exitosas fueron ataques de Día Cero.

La amenaza de un exploit de día cero

Los exploits son muy difíciles de defender porque los datos sobre el exploit generalmente solo están disponibles para su análisis después de que el ataque haya completado su curso. Estos ataques pueden tomar la forma de gusanos polimórficos, virus, troyanos y otros programas maliciosos.

Cuando una vulnerabilidad se hace pública y los investigadores han descubierto una solución o el proveedor ha implementado un parche, entonces se convierte en una vulnerabilidad conocida o de “día n” en lugar de un “exploit de día cero”.

¿Cómo se utilizan los exploits de día cero en un ataque?

Estos son múltiples métodos de explotación para lanzar y ejecutar un ataque. Ejemplos de métodos comunes incluyen:

• Lanzar el phishing con ingeniería social. Esta técnica es utilizada por los actores de amenazas (generalmente estados nacionales) para conseguir que un objetivo individual específico, generalmente de alto rango, abra un correo electrónico malicioso especialmente diseñado. Estos actores pueden pasar algún tiempo acechando y vigilando al objetivo en las redes sociales antes de lanzar el correo electrónico malicioso.
• Correos electrónicos no deseados y suplantación de identidad. En este escenario, los atacantes envían correos electrónicos a un número muy grande de destinatarios a través de múltiples organizaciones, con la expectativa de que un pequeño porcentaje abra el correo electrónico y haga clic en el enlace que está incrustado en el mensaje. Al hacer clic en el enlace se descargará la carga maliciosa o llevará al usuario a un sitio que descargaría automáticamente el malware. Esta técnica es utilizada a menudo por organizaciones cibercriminales organizadas.
• Incrustar kits de exploits en anuncios maliciosos y sitios maliciosos. En este escenario, los malos actores han comprometido con éxito un sitio web e inyectado un código malicioso que redirigiría a un visitante al servidor del kit de exploit.
• Componer en riesgo un sistema, red o servidor. Por ejemplo, aplicar fuerza bruta y luego usar el exploit para ejecutar el ataque.

¿Cuáles son los ejemplos bien conocidos de ataques de día cero exitosos?

• Heartbleed
• Choque de concha
• Stuxnet (un gusano que explota múltiples vulnerabilidades)
• Aurora (un ataque organizado que explotó varias vulnerabilidades)
• Vulnerabilidad BlueKeep (CVE-2019-0708)

¿Cuáles son las mejores prácticas para la protección contra los ataques de día cero?

Practicar el desarrollo seguro del ciclo de vida del software para garantizar la seguridad del código y asegurar el software para minimizar el riesgo potencial o las vulnerabilidades.

• Tener un sólido programa de administración de vulnerabilidades y un programa de parches. Por ejemplo, actualice el software lo antes posible, especialmente las actualizaciones críticas de las versiones de seguridad.
• Capacitación de concientización sobre seguridad cibernética enfocada en ingeniería social, reconocimiento de campañas de phishing y spear-phishing, y evitar sitios web maliciosos.
• Implementación de controles de seguridad en capas que incluyen firewalls perimetrales, IPS/IDS y otros controles de seguridad para centros de datos, así como controles de seguridad de punto final.
• Aplicando microsegmentación y el menor privilegio, especialmente en sistemas de alto valor, para que sea más difícil y costoso para los atacantes alcanzar sus objetivos.
• Inteligencia de amenazas, auditoría y monitoreo de la actividad del usuario, conectividad y detección de anomalías.
• Cuente con un plan de backup y recuperación ante desastres bien pensado.

¿Cuál es el papel de la visibilidad en tiempo real y la microsegmentación en la respuesta a un ataque de día cero?

Incluso si el software es vulnerable, un mal actor puede no necesariamente ser capaz de implementar su exploit con éxito si el objetivo tenía problemas de control de acceso bien diseñados.

• La visibilidad en tiempo real permite que los equipos de seguridad, operaciones de TI y redes modele y comprendan el tráfico normal y el comportamiento de las aplicaciones. Les ayuda a detectar nueva conectividad e intentos fallidos inusuales de conectarse a un carga de trabajo, que podrían ser indicadores de un ataque.
• La microsegmentación es un control preventivo. El enfoque de denegación predeterminada de microsegmentación reduce superficie de ataque. Esto limita las vías de ataque de un exploit y hace que sea más costoso para un mal actor propagar su ataque dentro de la red de su objetivo.
• Micro-segmentación como un control compensatorio en caso de un ataque. Cuando se divulga públicamente un día cero y no hay ningún parche disponible o si la aplicación de parches no es operativamente factible, una organización puede usar la segmentación a nivel de proceso para bloquear el tráfico entre cargas de trabajo y entre cargas de trabajo y usuarios solo a puertos, protocolos y servicios específicos.