que sont les attaques Zero-Day?

quelles sont les vulnérabilités Zero-Day?

les vulnérabilités Zero-day sont des failles de sécurité inconnues ou des bogues dans des logiciels, des micrologiciels ou du matériel que le fournisseur ne connaît pas, ou ne dispose pas d’un correctif ou d’une mise à jour officielle pour remédier à la vulnérabilité. Souvent, les fournisseurs et les utilisateurs ne sont pas au courant de l’existence d’une vulnérabilité à moins d’être signalés par un chercheur ou découverts à la suite d’une attaque.

que sont les attaques Zero-Day?,

selon le Ponemon Institute, 80% des violations réussies étaient des attaques Zero-Day.

lorsque de mauvais acteurs sont capables de développer et de déployer avec succès une preuve de concept (POC) ou un logiciel malveillant réel qui exploite une vulnérabilité zero-day, alors ce POC ou ce logiciel malveillant devient une attaque Zero-Day. À la suite de l’exploitation de la vulnérabilité zero-day, les mauvais acteurs obtiennent un accès non autorisé aux données sensibles et / ou aux systèmes critiques – ceci est considéré comme une attaque zero-day.

Qu’est-ce Qu’un Exploit Zero-Day?,

Un exploit zero-day est la technique qui mauvais acteurs utilisent pour attaquer les systèmes qui ont la vulnérabilité zero-day. Les chercheurs utilisent les exploits zero-day pour démontrer l’impact de « l’exploitation » de la faille pour obtenir un accès non autorisé ou compromettre le système sous-jacent.

Les Exploits Zero-Day tirent leur nom parce qu’ils sont connus publiquement depuis zero days. Il est possible que des acteurs malveillants créent des exploits zero-day et attendent de les utiliser stratégiquement. Dans ce cas, même si l’attaquant connaît l’exploit, il n’est toujours pas connu publiquement et est toujours considéré comme un exploit zero-day.,

la menace d’un Exploit Zero-Day

Les exploits Zero-day sont très difficiles à défendre car les données sur l’exploit ne sont généralement disponibles pour analyse qu’une fois l’attaque terminée. Ces attaques zero-day peuvent prendre la forme de vers polymorphes, de virus, de chevaux de Troie et d’autres logiciels malveillants.

Les Attaques les plus efficaces qui évitent la détection sont les vers polymorphes. Ce malware évite la détection en changeant fréquemment ses caractéristiques identifiables., Lorsqu’une vulnérabilité devient publique et que les chercheurs ont découvert une solution ou que le fournisseur a déployé un correctif, elle devient une vulnérabilité connue ou « n-day” au lieu d’un exploit « zero-day ».’

selon le Ponemon Institute, 80% des violations réussies étaient des attaques Zero-Day. En outre, les organisations prévoient également que les attaques zero-day deviendront plus répandues., (Source: Ponemon Institute, troisième rapport annuel sur L’État de la sécurité des terminaux, janvier 2020)

lorsque les exploits zero-day deviennent publics – ce qui signifie que les chercheurs en sécurité ont publié un blog et un avis – ils incluent généralement des informations sur la charge utile et l’identité des acteurs de la menace derrière. Les chercheurs en sécurité concentrent donc également leurs efforts sur la compréhension de la méthodologie d’exploitation des attaquants. Leur objectif est d’obtenir des informations qui aideraient les équipes de sécurité à développer des méthodes de détection améliorées et nouvelles, ainsi que des méthodes préventives.,

comment les exploits zero-day sont-ils utilisés dans une attaque?

Il s’agit de plusieurs méthodes d’exploit zero-day pour lancer et exécuter une attaque zero-day. Des exemples de méthodes courantes incluent:

• Spear phishing avec l’ingénierie sociale. Cette technique est utilisée par les acteurs de la menace (généralement les États-nations) pour obtenir une cible individuelle spécifique, généralement de haut rang, pour ouvrir un e-mail malveillant spécialement conçu. Ces acteurs peuvent passer un certain temps à traquer et surveiller la cible dans les médias sociaux avant de lancer l’e-mail malveillant., L’objectif est d’amener cette personne à ouvrir l’e-mail, puis de télécharger la charge malveillante.
• e-mails de Spam et de phishing. Dans ce scénario, les attaquants envoient des e-mails à un très grand nombre de destinataires dans plusieurs organisations, avec l’espoir qu’un petit pourcentage ouvrira l’e-mail et cliquera sur le lien intégré dans le message. En cliquant sur le lien téléchargera la charge utile malveillante ou amène l’utilisateur à un site qui téléchargerait automatiquement le logiciel malveillant. Cette technique est souvent utilisée par les organisations cybercriminelles organisées.,
• intégration de kits d’exploit dans les malvertisements et les sites malveillants. Dans ce scénario, les mauvais acteurs ont réussi à compromettre un site web et injecté un code malveillant qui redirigerait un visiteur vers le serveur exploit kit.
• compromettant un système, un réseau ou un serveur. Par exemple, appliquer la force brute, puis utiliser l’exploit pour exécuter l’attaque. MITRE offre une liste plus complète de tactiques et de techniques d’attaque que les mauvais acteurs utilisent pour lancer et exécuter une attaque zero-day.

Quels sont les exemples bien connus d’attaques Zero-Day réussies?,

• Heartbleed
• Shellshock
• Stuxnet (un ver qui exploitait plusieurs vulnérabilités zero-day)
• Aurora (une attaque organisée qui exploitait plusieurs vulnérabilités zero-day)
• vulnérabilité BlueKeep (CVE-2019-0708)

quelles sont les meilleures pratiques pour la protection contre les attaques Zero-Day?

pratiquer le développement sécurisé du cycle de vie des logiciels pour assurer la sécurité du code et sécuriser les logiciels afin de minimiser les risques potentiels ou les vulnérabilités.

• avoir un solide programme de gestion des vulnérabilités et un programme de correctifs., Par exemple, mettez à jour le logiciel dès que possible, en particulier les mises à jour de version de sécurité critiques.
• La formation de sensibilisation à la cybersécurité était axée sur l’ingénierie sociale, la reconnaissance des campagnes de phishing et de spear-phishing et la prévention des sites Web malveillants.
• déploiement de contrôles de sécurité en couches, y compris des pare-feu périmétriques, des IPS / ID et d’autres contrôles de sécurité des centres de données ainsi que des contrôles de sécurité des terminaux.
• application de la micro-segmentation et du moindre privilège, en particulier dans les systèmes à forte valeur ajoutée, pour rendre plus difficile et plus coûteux pour les attaquants d’atteindre leurs cibles.,
• intelligence des menaces, audit et surveillance de l’activité des utilisateurs, connectivité et détection des anomalies.
• avoir un plan de reprise après sinistre et de sauvegarde pensé.

Quel est le rôle de la visibilité en temps réel et de la micro-segmentation dans la réponse à une attaque Zero-Day?

même si le logiciel est vulnérable, un mauvais acteur peut ne pas nécessairement être en mesure de déployer son exploit avec succès si la cible avait bien conçu, problèmes de contrôle d’accès en place.,

• la visibilité en temps réel permet aux équipes de sécurité, D’opérations informatiques et de mise en réseau de modéliser et de comprendre le trafic normal et le comportement des applications. Il les aide à détecter la nouvelle connectivité et les tentatives inhabituelles d’Échec pour se connecter à une charge de travail, qui pourraient être des indicateurs d’une attaque.
• La Micro-segmentation est un contrôle préventif. L’approche de refus par défaut de la Micro-segmentation réduit la surface d’attaque. Cela limite les voies d’attaque d’un exploit et rend plus coûteux pour un mauvais acteur de propager son attaque à l’intérieur du réseau de sa cible.,
• Micro-segmentation comme contrôle compensateur en cas d’attaque. Lorsqu’un jour Zéro est divulgué publiquement et qu’aucun correctif n’est disponible ou si le correctif n’est pas réalisable sur le plan opérationnel, une organisation peut utiliser la segmentation au niveau du processus pour verrouiller le trafic entre les charges de travail et entre les charges de travail et les utilisateurs uniquement vers des ports, protocoles et services spécifiques.

en savoir plus

explorez les options de microsegmentation pour votre organisation et soyez mieux protégé contre les exploits zero-day. Obtenez la micro-segmentation.