Embora as melhores medidas de proteção não sejam capazes de proteger sua empresa contra um eventual ataque de dia zero, a maioria das práticas de segurança cibernética recomendadas são úteis para proteger contra explorações de dia zero.

Para proteger sua casa de ladrões, a coisa mais fácil que você pode fazer é trancar as suas janelas e portas toda vez que sair de casa. Da mesma forma, na segurança cibernética, a maneira mais fácil de proteger sua rede é manter o seu hardware e aplicativos atualizados com as últimas correções de segurança.

Mas como você se defenderia contra uma vulnerabilidade que você não conhece, ou seja uma vulnerabilidade recente, que ainda não possui correções de segurança? Bem-vindo ao enigma das exploração de dia zero.

Uma exploração de dia zero é como um ladrão que descobre onde você esconde a sua chave reserva – ele pode entrar na sua casa a qualquer momento. Só depois que dá falta das suas coisas é que você percebe o que realmente aconteceu e muda as fechaduras.

O que é uma exploração de dia zero?

Uma exploração de dia zero é uma vulnerabilidade em seu hardware, software ou rede nunca antes revelada  e que ainda não possua correções de segurança. Às vezes, os criminosos cibernéticos executam ataque a uma vulnerabilidade de segurança no mesmo dia em que é divulgada; outras vezes, a vulnerabilidade é divulgada após o acontecimento do primeiro ataque.

Enquanto os programadores estão trabalhando na criação de correções, os hackers estão explorando a vulnerabilidade. É por este motivo que se designa de exploração de dia zero,  “zero dias” é a quantidade de tempo que os programadores têm para corrigir o problema antes de uma catástrofe aconteça.

Para começar, os programadores precisam desenvolver e disponibilizar as atualizações de segurança (patch). De seguida o patch deve ser baixado e instalado nos dispositivos vulneráveis. Para uma organização que possui milhares de dispositivos pode levar horas, dias ou até semanas para que os patches sejam instaladas e a organização esteja totalmente protegida, enquanto isso, os hackers estão roubando dados e/ou instalando malwares adicionais sem o seu conhecimento.

As explorações de dia zero podem ser realizadas de varias formas, seja por vírus, ransomware ou Trojan. As vulnerabilidades podem ser identificadas e explorados por hackers que actuam de forma individual ou ​​por organizações criminosas como parte de um ataque distribuído. Normalmente as vitimas não percebem que foram atacados uma vez que a infeção do dispositivo é realizada usando processos normais como navegação na Web, abertura de um email ou download de um arquivo.

Reportes de exploração de dia zero

Em 2017, hackers usaram uma exploração de dia zero para atacar uma falha no Microsoft Word para implantar um trojan que permitia o acesso remoto ao dispositivo da vitima e  coletava informações como e-mails e credencias de forma  secreta.

Em 2014, hackers exploraram uma vulnerabilidade que ainda não tinha sido revelada durante uma campanha de phishing para desencadear um ataque devastador à rede de computadores da Sony Picture Entertainment. O ataque paralisou a rede da empresa e permitiu o acesso a e-mails pessoais dos principais executivos, informações comerciais e até cópias de filmes que até então não tinham sido lançados.

Como se defender de explorações de dia zero

Embora as melhores medidas de proteção e as mais sofisticadas soluções de IA / Machine-Learning não sejam capazes de proteger a sua empresa de um ataque de dia zero, muitas das práticas recomendadas de segurança cibernética podem ser úteis neste tipo de ataques. Isso inclui:

• Monitorando atividades incomuns: embora não seja possível corrigir uma vulnerabilidade desconhecida, é possível detectar eventuais ataques através do monitoramento atividades incomuns na rede. Por exemplo, um Centro de Operações de Segurança (SOC) baseado em nuvem, como o como o serviço do Arctic Wolf, pode monitorar recursos locais e da nuvem em tempo real, 24/7, para que os utilizadores possam facilmente identificar quando e onde um ataque pode ter ocorrido
• Entendendo seu risco: quando uma vulnerabilidade é exposta, é possível que já exista uma a correção de segurança  No entanto, cabe ao utilizador saber se a vulnerabilidade e o patch se aplicam ao seu caso. É necessário ter um inventário atualizado dos activos de redes, para poder identificar o que realmente precisa ser corrigido ou colocado em quarentena na sua rede até que possa ser corrigido. Com os serviços de gestão de risco e detecção e resposta a incidentes da Arctic Wolf é possível implementar um programa de segurança cibernética capaz de responder a ataques de exploração de dia zero.
• Tenha um consultor confiável: Tratando-se de explorações de dia zero, cada minuto é importante. Existem soluções de segurança capazes de fornecer uma visão em tempo real da ameaça cibernética, conforme ela se desenvolve, para que o ultizador possa entender os seus riscos e tomar as medidas apropriadas. Por exemplo, com recurso a este serviço, a Arctic Wolf foi capaz de alertar os seus clientes sobre a existência de um código malicioso para a exploração da vulnerabilidade BlueKeep que foi descoberto no Protocolo Remote Desktop da Microsoft, ajudando-os a priorizar a actualização de seus sistema  para protecção contra um eventual ataque.

SAIBA MAIS: Um SOC como serviço pode ajudá-lo a permanecer protegido contra vulnerabilidades conhecidas e riscos desconhecidos de explorações de dia zero, através da disponibilização de serviços dedicados e conhecimentos avançados de segurança necessários para prevenir, proteger e responder a ameaças cibernéticas em seu ambiente.


Fonte: https://threatpost.com/understanding-the-risk-of-zero-day-exploits/151110/