Ataques de dia zero
Saiba o que é uma exploração de dia zero versus uma vulnerabilidade de dia zero, como elas são usadas em ataques cibernéticos e por que sua organização precisa ser capaz de se proteger contra ataques de dia zero.
O que são vulnerabilidades de dia zero?
As vulnerabilidades de dia zero são falhas de segurança ou bugs desconhecidos em software, firmware ou hardware que o fornecedor não conhece ou não tem um patch ou atualização oficial para resolver a vulnerabilidade. Muitas vezes, fornecedores e usuários não estão cientes da existência de uma vulnerabilidade, a menos que seja relatada por um pesquisador ou descoberta como resultado de um ataque.
O que são ataques de dia zero?
\ Quando agentes mal-intencionados conseguem desenvolver e implantar com sucesso malware que explora uma vulnerabilidade de dia zero e, em seguida, esse malware se torna um ataque de dia zero. Como resultado da exploração da vulnerabilidade, os malfeitores obtêm acesso não autorizado a dados confidenciais e/ou sistemas críticos.
O que é um Zero-Day Exploit?
Uma exploração de dia zero é a técnica que os malfeitores usam para atacar sistemas que têm a vulnerabilidade. Os pesquisadores usam explorações para demonstrar o impacto de “explorar” a falha para obter acesso não autorizado ou comprometer o sistema subjacente.
Os Zero-Day Exploits recebem esse nome porque são conhecidos publicamente há zero dias. É possível que agentes mal-intencionados criem explorações e esperem para usá-las estrategicamente. Nesse caso, mesmo que o invasor conheça a exploração, ela ainda não é conhecida publicamente e ainda é considerada uma exploração de dia zero.
De acordo com o Instituto Ponemon, 80% das violações bem-sucedidas foram ataques de dia zero.
A ameaça de um exploit de dia zero
É muito difícil se defender contra explorações porque os dados sobre elas geralmente só estão disponíveis para análise após a conclusão do ataque. Esses ataques podem assumir a forma de worms polimórficos, vírus, trojans e outros malwares.
Quando uma vulnerabilidade se torna pública e os pesquisadores descobrem uma solução ou o fornecedor implantou um patch, ela se torna uma vulnerabilidade conhecida ou de “dia zero”, em vez de uma “exploração de dia zero”.
Como os Zero-Day Exploits são usados em um ataque?
Esses são vários métodos de exploração para lançar e executar um ataque. Exemplos de métodos comuns incluem:
- Combata o phishing com engenharia social. Essa técnica é usada por agentes de ameaças (geralmente estados-nação) para fazer com que um alvo individual específico, geralmente de alto escalão, abra um e-mail malicioso especialmente projetado. Esses atores podem passar algum tempo perseguindo e vigiando o alvo nas redes sociais antes de lançar o e-mail malicioso.
- E-mails de spam e phishing. Nesse cenário, os invasores enviam e-mails para um grande número de destinatários em várias organizações, com a expectativa de que uma pequena porcentagem abra o e-mail e clique no link incorporado na mensagem. Clicar no link baixará a carga maliciosa ou levará o usuário a um site que baixaria automaticamente o malware. Essa técnica é frequentemente usada por organizações criminosas cibernéticas organizadas.
- Incorporação de kits de exploração em anúncios maliciosos e sites maliciosos. Nesse cenário, agentes mal-intencionados comprometeram com sucesso um site e injetaram um código malicioso que redirecionaria o visitante para o servidor do kit de exploração.
- Comprometendo um sistema, rede ou servidor. Por exemplo, aplicar força bruta e depois usar o exploit para executar o ataque.
Quais são os exemplos conhecidos de ataques de dia zero bem-sucedidos?
- Heartbleed
- Shellshock
- Stuxnet (um worm que explorou várias vulnerabilidades)
- Aurora (um ataque organizado que explorou várias vulnerabilidades)
- Vulnerabilidade Blue Keep (CVE-2019-0708)
Quais são as melhores práticas para proteção contra ataques de dia zero?
Praticar o desenvolvimento seguro do ciclo de vida do software para garantir a segurança do código e o software seguro para minimizar possíveis riscos ou vulnerabilidades.
- Tenha um programa sólido de gerenciamento de vulnerabilidades e um programa de correção. Por exemplo, atualize o software o mais rápido possível, especialmente as atualizações críticas da versão de segurança.
- Treinamento de conscientização sobre segurança cibernética com foco em engenharia social, reconhecimento de campanhas de phishing e spear-phishing e evitar sites maliciosos.
- Implantação de controles de segurança em camadas, incluindo firewalls de perímetro, IPS/IDS e outros controles de segurança de data center, bem como controles de segurança de terminais.
- Aplicando microssegmentação e o menor privilégio, especialmente em sistemas de alto valor, para tornar mais difícil e caro para os atacantes atingirem seus alvos.
- Inteligência de ameaças, auditoria e monitoramento da atividade do usuário, conectividade e detecção de anomalias.
- Tenha um plano de backup e recuperação de desastres bem pensado.
Qual é o papel da visibilidade em tempo real e da microssegmentação na resposta a um ataque de dia zero?
Mesmo que o software esteja vulnerável, um agente mal-intencionado pode não necessariamente ser capaz de implantar sua exploração com sucesso se o alvo tiver problemas de controle de acesso bem projetados.
- A visibilidade em tempo real permite que as equipes de segurança, operações de TI e rede modelem e entendam o comportamento normal do tráfego e dos aplicativos. Isso os ajuda a detectar novas conexões e tentativas incomuns fracassadas de se conectar a um carga de trabalho, que podem ser indicadores de um ataque.
- A microssegmentação é um controle preventivo. A abordagem de negação padrão da microssegmentação reduz a superfície de ataque. Isso limita as vias de ataque de um exploit e torna mais caro para um malfeitor propagar seu ataque dentro da rede do alvo.
- Microssegmentação como controle compensatório no caso de um ataque. Quando um dia zero é divulgado publicamente e nenhum patch está disponível ou se o patch não é operacionalmente viável, uma organização pode usar a segmentação em nível de processo para bloquear o tráfego entre cargas de trabalho e entre cargas de trabalho e usuários somente em portas, protocolos e serviços específicos.