vulnerabilidade de dia zero

Vulnerabilidade de Dia Zero explicada

Uma vulnerabilidade de dia zero é um bug ou uma falha que não foi corrigida. É como um buraco no fundo do seu sapato que você ainda não notou, mas um vilão de bigode encaracolado encontrou e está pensando em colocar pregos enferrujados em seu acelerador. Os hackers podem usar esses bugs e exploits para roubar seus dados antes que você consiga encontrar e consertar a fraqueza.

O que são vulnerabilidades?

Vulnerabilidades permitem que invasores passem por suas defesas e entrem em sua rede, como o software sem patches que permitiu o hack Equifax.

Como profissionais de segurança, lidamos regularmente com todos os tipos de vulnerabilidades, como bugs de software, hacks e vulnerabilidades humanas.

Bugs de software – como o que levou à violação de dados Equifax – são falhas no código que os hackers podem usar para obter seus dados. Hackers de software usam a funcionalidade existente como parte de um ataque: o ataque Golden Ticket, por exemplo, é um hack de escalonamento de privilégios que aproveita a maneira como o Microsoft Kerberos funciona normalmente. Vulnerabilidades humanas são exploradas com mais frequência por ataques de engenharia social, que geralmente abusam da confiança (ou ingenuidade) para roubar senhas ou enviar dinheiro para os príncipes africanos.

O que faz uma vulnerabilidade de dia zero?

Em suma, a urgência e a rapidez tornam a vulnerabilidade de dia zero.

Esses são bugs de software que os desenvolvedores têm zero dias para serem corrigidos porque, no momento em que são identificados, já são riscos de segurança maciços que podem causar danos significativos. Na maioria das vezes, os bugs de dia zero não são de conhecimento público e são corrigidos antes que os invasores possam criar um kit de exploração para aproveitar a falha.

Contanto que a vulnerabilidade de dia zero não seja pública, os desenvolvedores têm tempo do lado deles. No entanto, uma vez que a exploração se torne de conhecimento público, torna-se uma corrida para os desenvolvedores obterem uma correção antes que o dano seja feito.

Muitas organizações oferecem recompensas pela descoberta de vulnerabilidades de dia zero em seus softwares. A Microsoft e o Google oferecem recompensas em dinheiro por reportar vulnerabilidades diretamente a eles, com algumas recompensas ao norte de US$ 100 mil.

Exploração de Dia Zero

Uma exploração de dia zero é diferente de uma vulnerabilidade de dia zero. As explorações de dia zero não precisam ser vulnerabilidades existentes: elas podem ser um novo malware do programa de ransomware. Uma exploração de dia zero é um novo tipo de ataque em andamento que requer correção imediata.

Quando uma vulnerabilidade de dia zero não é descoberta e corrigida antes que os invasores encontrem a falha, ela também se torna uma exploração de dia zero.

Explorações de dia zero são difíceis de serem detectadas e defendidas: elas são desconhecidas até que seja tarde demais, e sua natureza é pouco pesquisada. As soluções de segurança baseadas em assinaturas não detectam uma exploração de dia zero e não há patches de vulnerabilidade de software disponíveis imediatamente. Você precisa reagir rapidamente a explorações de dia zero para evitar danos generalizados à rede ou roubo de dados.

Como se defender contra ataques de dia zero

Você pode criar uma rede segura que seja resiliente contra ataques de dia zero. Ao monitorar dados e comparar a atividade atual com uma linha de base estabelecida, você pode detectar anormalidades causadas por ataques de dia zero. Cada ataque cibernético – dia zero ou de outra forma – deixa pegadas digitais nos dados e na rede.

Por exemplo, uma exploração de dia zero que concede a um atacante acesso a uma conta de usuário provavelmente fará com que essa conta de usuário aja de maneira anormal. O invasor pode tentar pesquisar na rede números de cartão de crédito ou listas de senhas ou tentar elevar a conta para um administrador de domínio. Com o Varonis, qualquer uma dessas atividades acionará um dos vários modelos de ameaças baseadas em comportamento e sinalizará como atividade suspeita. Então, o que você pode fazer para se proteger contra vulnerabilidades de dia zero?

  • Monitore seus dados principais – incluindo arquivos, pastas, e-mails, Active Directory, VPN, DNS e proxies Web, para comportamentos que possam indicar um ataque cibernético de dia zero;
  • Aplicar um modelo de privilégio mínimo para impedir o movimento lateral e a extração de dados de um ataque de dia zero;
  • Atualizar pacotes de software e segurança (incluindo IPS e Endpoint) assim que estiverem disponíveis para se defender contra vulnerabilidades conhecidas de dia zero;
  • Faça backup de sistemas críticos e estabeleça planos de recuperação e resposta a incidentes;
  • Imponha políticas rigorosas de uso de software e internet e treine os usuários para identificar ataques de phishing e outros riscos de segurança.

Esse último ponto é fundamental. Capacite a equipe a relatar comportamentos inadequados em seus sistemas – os funcionários geralmente são a última linha de defesa contra um ataque de dia zero.

Exemplos de ataques de dia zero

Todos os anos, há pelo menos uma dúzia de vulnerabilidades de dia zero diferentes identificadas e corrigidas pelos fornecedores de software. Uma das mais infames é a vulnerabilidade do Strutshock usada na violação de dados do Equifax. Os desenvolvedores corrigiram essa vulnerabilidade em março de 2017, mas a Equifax não aplicou a atualização, tornando-a um ataque de dia zero.

Outros ataques notáveis de dia zero:

Dicas para Evitar Vulnerabilidades de Dia Zero 

Proteger sua rede contra ataques de dia zero exige monitoramento de dados baseado em comportamento que ajude a proteger contra ameaças conhecidas e desconhecidas. Varonis estabelece linhas de base comportamentais para detectar comportamentos incomuns em atividades incomuns em sua rede e alerta sobre atividades suspeitas para que você possa responder e interromper a ameaça antes que se torne uma violação de dados. Os sistemas baseados em assinaturas não detectam uma exploração de dia zero, mas uma solução centrada em dados pode detectar os rastros digitais de um ataque de exploração de dia zero em andamento.

Veja como a Varonis detecta ataques com uma demonstração gratuita e descubra as melhores práticas para se defender contra ataques de dia zero.

Escrito por 

Fonte original: blog.varonis.com