¿qué son los ataques de día cero?

¿qué son las vulnerabilidades de día cero?

las vulnerabilidades de día cero son fallas de seguridad desconocidas o errores en software, firmware o hardware que el proveedor no conoce o no tiene un parche o actualización oficial para abordar la vulnerabilidad. A menudo, los proveedores y los usuarios no son conscientes de la existencia de una vulnerabilidad a menos que sea reportado por un investigador o descubierto como resultado de un ataque.

¿qué son los ataques de día cero?,

de acuerdo con el Ponemon Institute, el 80% de las violaciones exitosas fueron ataques de día cero.

Cuando los malos actores pueden desarrollar e implementar con éxito una prueba de concepto (PoC) o un malware real que explota una vulnerabilidad de día cero, ese PoC o malware se convierte en un ataque de día cero. Como resultado de explotar la vulnerabilidad de día cero, los malos actores obtienen acceso no autorizado a datos confidenciales y / o sistemas críticos, esto se considera un ataque de día cero.

¿qué es un Exploit de día cero?,

un exploit de día cero es la técnica que usan los malos actores para atacar sistemas que tienen la vulnerabilidad de día cero. Los investigadores utilizan exploits de día cero para demostrar el impacto de «explotar» el defecto para obtener acceso no autorizado o comprometer el sistema subyacente.

los Exploits de día cero obtienen su nombre porque han sido conocidos públicamente durante días cero. Es posible que los actores maliciosos creen exploits de día cero y esperen a usarlos estratégicamente. En este caso, a pesar de que el atacante conoce el exploit, todavía no se conoce públicamente, y todavía se considera un exploit de día cero.,

la amenaza de un Exploit de día cero

los exploits de día cero son muy difíciles de defender porque los datos sobre el exploit generalmente solo están disponibles para el análisis después de que el ataque haya completado su curso. Estos ataques de día cero pueden tomar la forma de gusanos polimórficos, virus, troyanos y otro malware.

los ataques más efectivos que evitan la detección son los gusanos polimórficos. Este malware evita la detección cambiando con frecuencia sus características identificables., Cuando una vulnerabilidad se hace pública y los investigadores han descubierto una solución o el proveedor ha implementado un parche, entonces se convierte en una vulnerabilidad conocida o de «día n» en lugar de un exploit de «día cero».’

según el Instituto Ponemon, el 80% de las violaciones exitosas fueron ataques de día cero. Además, las organizaciones también anticipan que los ataques de día cero serán más frecuentes., (fuente: Ponemon Institute, Tercer Informe Anual del Estado de la seguridad de endpoints, enero de 2020)

cuando los exploits de día cero se hacen públicos, lo que significa que los investigadores de seguridad han publicado un blog y un aviso, generalmente incluye información sobre la carga útil y la identidad de los actores de la amenaza detrás de ella. Por lo tanto, los investigadores de seguridad también centran sus esfuerzos en comprender la metodología de explotación de los atacantes. Su objetivo es obtener información que ayude a los equipos de seguridad a desarrollar una detección mejorada y nueva, así como métodos preventivos.,

¿cómo se utilizan los exploits de día cero en un ataque?

Estos son múltiples métodos de exploit de día cero para lanzar y ejecutar un ataque de día cero. Ejemplos de métodos comunes incluyen:

• Spear phishing con ingeniería social. Esta técnica es utilizada por los actores de la amenaza (por lo general los Estados nacionales) para obtener un objetivo específico, por lo general de alto rango, individual para abrir un correo electrónico malicioso especialmente diseñado. Estos actores pueden pasar algún tiempo acechando y vigilando al objetivo en las redes sociales antes de lanzar el correo electrónico malicioso., El objetivo es conseguir que esta persona abra el correo electrónico y luego descargue la carga maliciosa.
• correos electrónicos no deseados y phishing. En este escenario, los atacantes envían correos electrónicos a un gran número de destinatarios en varias organizaciones, con la expectativa de que un pequeño porcentaje abra el correo electrónico y haga clic en el enlace que está incrustado en el mensaje. Al hacer clic en el enlace se descargará la carga maliciosa o lleva al usuario a un sitio que descargaría automáticamente el malware. Esta técnica es utilizada a menudo por organizaciones ciberdelincuentes organizadas.,
• incrustar exploit kits en malvertisements y sitios maliciosos. En este escenario, los malos actores han comprometido con éxito un sitio web e inyectado un código malicioso que redirigiría a un visitante al servidor exploit kit.
• comprometer un sistema, red o servidor. Por ejemplo, aplicando fuerza bruta y luego usando el exploit para ejecutar el ataque. MITRE ofrece una lista más completa de tácticas y técnicas de ataque que los malos actores utilizan para lanzar y ejecutar un ataque de día cero.

¿Cuáles son ejemplos conocidos de ataques de día cero exitosos?,

• Heartbleed
• Shellshock
• Stuxnet (un gusano que explota múltiples vulnerabilidades de día cero)
• Aurora (un ataque organizado que explotaba varias vulnerabilidades de día cero)
• BlueKeep Vulnerabilidad (CVE-2019-0708)

¿cuáles son las mejores prácticas para la protección contra Ataques de Día Cero?

practicar el desarrollo del ciclo de vida de software seguro para garantizar la seguridad del código y el software seguro para minimizar los riesgos o vulnerabilidades potenciales.

• Tener un sólido programa de gestión de vulnerabilidades y un programa de parches., Por ejemplo, actualice el software lo antes posible, especialmente las actualizaciones críticas de la versión de seguridad.
• Formación de concienciación sobre Ciberseguridad centrada en la ingeniería social, el reconocimiento de campañas de phishing y spear-phishing, y la prevención de sitios web maliciosos.
• implementación de controles de seguridad por capas, incluidos firewalls perimetrales, IPS / IDS y otros controles de seguridad del centro de datos, así como controles de seguridad de endpoints.
• Aplicar la microsegmentación y el menor privilegio, especialmente en sistemas de alto valor, para que sea más difícil y costoso para los atacantes alcanzar sus objetivos.,
• Inteligencia de amenazas, auditoría y supervisión de la actividad del usuario, conectividad y detección de anomalías.
• tenga un plan pensado de recuperación ante desastres y respaldo.

¿Cuál es el papel de la visibilidad en tiempo real y la microsegmentación para responder a un ataque de día cero?

incluso si el software es vulnerable, un mal actor puede no necesariamente ser capaz de implementar su exploit con éxito si el objetivo tenía problemas de control de Acceso bien diseñados.,

• La visibilidad en tiempo Real permite a los equipos de seguridad, operaciones de ti y redes modelar y comprender el tráfico normal y el comportamiento de las aplicaciones. Les ayuda a detectar nueva conectividad e intentos fallidos inusuales para conectarse a una carga de trabajo, que podrían ser indicadores de un ataque.
• la microsegmentación es un control preventivo. El enfoque de denegación por defecto de la microsegmentación reduce la superficie de ataque. Esto limita las vías de ataque de un exploit y hace que sea más costoso para un mal actor propagar su ataque dentro de la red de su objetivo.,
• microsegmentación como control compensador en caso de ataque. Cuando se divulga públicamente un día cero y no hay ningún parche disponible o si el parche no es viable operacionalmente, una organización puede usar la segmentación a nivel de proceso para bloquear el tráfico entre cargas de trabajo y entre cargas de trabajo y usuarios solo a puertos, protocolos y servicios específicos.

más información

Explore las opciones de microsegmentación para su organización y esté mejor protegido contra exploits de día cero. Micro-segmentación.