Cosa sono gli attacchi Zero-Day?

Quali sono le vulnerabilità Zero-Day?

Le vulnerabilità Zero-day sono falle di sicurezza sconosciute o bug nel software, firmware o hardware di cui il fornitore non è a conoscenza o non dispone di una patch o di un aggiornamento ufficiale per risolvere la vulnerabilità. Spesso i fornitori e gli utenti non sono a conoscenza dell’esistenza di una vulnerabilità a meno che non siano segnalati da un ricercatore o scoperti a seguito di un attacco.

Cosa sono gli attacchi Zero-Day?,

Secondo il Ponemon Institute, l ‘ 80% delle violazioni riuscite erano attacchi Zero-Day.

Quando i cattivi attori sono in grado di sviluppare e distribuire con successo un proof of concept (PoC) o un malware reale che sfrutta una vulnerabilità zero-day, allora quel PoC o malware diventa un attacco Zero-Day. Come risultato di sfruttare la vulnerabilità zero-day, i cattivi attori ottenere l’accesso non autorizzato ai dati sensibili e / o sistemi critici – questo è considerato come un attacco zero-day.

Che cos’è un exploit Zero-Day?,

Un exploit zero-day è la tecnica che i cattivi attori usano per attaccare i sistemi che hanno la vulnerabilità zero-day. I ricercatori utilizzano exploit zero-day per dimostrare l’impatto di ‘sfruttare’ il difetto per ottenere l’accesso non autorizzato o compromettere il sistema sottostante.

Gli exploit Zero-Day prendono il loro nome perché sono stati conosciuti pubblicamente per zero giorni. È possibile che gli attori malintenzionati creino exploit zero-day e attendano di usarli strategicamente. In questo caso, anche se l’attaccante conosce l’exploit, non è ancora noto pubblicamente, ed è ancora considerato un exploit zero-day.,

La minaccia di un exploit Zero-Day

Gli exploit Zero-day sono molto difficili da difendere perché i dati sull’exploit sono generalmente disponibili solo per l’analisi dopo che l’attacco ha completato il suo corso. Questi attacchi zero-day possono assumere la forma di worm polimorfici, virus, trojan e altri malware.

Gli attacchi più efficaci che evitano il rilevamento sono vermi polimorfici. Questo malware evita il rilevamento modificando frequentemente le sue caratteristiche identificabili., Quando una vulnerabilità diventa pubblica e i ricercatori hanno scoperto una soluzione o il fornitore ha distribuito una patch, diventa una vulnerabilità nota o “n-day” invece di un exploit zero-day.’

Secondo il Ponemon Institute, l ‘ 80% delle violazioni riuscite erano attacchi Zero-Day. Inoltre, le organizzazioni prevedono anche che gli attacchi zero-day diventino più diffusi., (fonte: Ponemon Institute, Third Annual State of Endpoint Security Report, gennaio 2020)

Quando gli exploit zero-day diventano pubblici, il che significa che i ricercatori di sicurezza hanno pubblicato un blog e un advisory, in genere include informazioni sul payload e l’identità degli attori delle minacce dietro di esso. I ricercatori di sicurezza sono quindi anche concentrando i loro sforzi sulla comprensione degli aggressori sfruttano metodologia. Il loro obiettivo è ottenere informazioni che aiutino i team di sicurezza a sviluppare nuovi e avanzati metodi di rilevamento e prevenzione.,

Come vengono utilizzati gli exploit zero-day in un attacco?

Questi sono più metodi di exploit zero-day per lanciare ed eseguire un attacco zero-day. Esempi di metodi comuni includono:

• Spear phishing con ingegneria sociale. Questa tecnica viene utilizzata dagli attori delle minacce (di solito stati nazionali) per ottenere un target specifico, di solito di alto rango, per aprire un’e-mail dannosa appositamente progettata. Questi attori possono trascorrere un po ‘ di tempo lo stalking e sorvegliare il bersaglio nei social media prima di lanciare l’e-mail dannoso., L’obiettivo è quello di ottenere questo individuo per aprire l’e-mail, quindi scaricare il payload dannoso.
• Email di spam e phishing. In questo scenario, gli aggressori inviano e-mail a un numero molto elevato di destinatari in più organizzazioni, con l’aspettativa che una piccola percentuale aprirà l’e-mail e farà clic sul collegamento incorporato nel messaggio. Cliccando sul link scaricherà il payload dannoso o porta l’utente a un sito che scaricherà automaticamente il malware. Questa tecnica è spesso utilizzata da organizzazioni cyber-criminali organizzate.,
• Incorporare kit di exploit in malvertisements e siti dannosi. In questo scenario, i cattivi attori hanno compromesso con successo un sito web e iniettato un codice dannoso che reindirizzare un visitatore al server exploit kit.
• Compromettere un sistema, una rete o un server. Ad esempio, applicando la forza bruta e quindi utilizzando l’exploit per eseguire l’attacco. MITRE offre un elenco più completo di tattiche di attacco e tecniche che i cattivi attori usano per lanciare ed eseguire un attacco zero-day.

Quali sono esempi ben noti di attacchi Zero-Day riusciti?,

• Heartbleed
• Shellshock
• Stuxnet (un worm che sfruttano più di vulnerabilità zero-day)
• Aurora (un attacco organizzato che ha sfruttato diverse vulnerabilità zero-day)
• BlueKeep Vulnerabilità (CVE-2019-0708)

Quali sono le migliori pratiche per la protezione contro gli Attacchi Zero-Day?

Praticare lo sviluppo del ciclo di vita del software sicuro per garantire la sicurezza del codice e software sicuro per ridurre al minimo potenziali rischi o vulnerabilità.

• Avere un solido programma di gestione delle vulnerabilità e un programma di patch., Ad esempio, aggiornare il software AL più presto, in particolare gli aggiornamenti di rilascio di sicurezza critici.
• Cyber security awareness training si è concentrato sull’ingegneria sociale, riconoscendo le campagne di phishing e spear-phishing ed evitando siti web dannosi.
• Distribuzione di controlli di sicurezza a più livelli, inclusi firewall perimetrali, IPS / ID e altri controlli di sicurezza del data center e controlli di sicurezza degli endpoint.
• Applicare la micro-segmentazione e il minimo privilegio, specialmente nei sistemi ad alto valore, per rendere più difficile e costoso per gli aggressori raggiungere i loro obiettivi.,
• Threat intelligence, auditing e monitoraggio delle attività degli utenti, connettività e rilevamento delle anomalie.
• Avere un piano di disaster recovery e back-up pensato-out.

Qual è il ruolo della visibilità in tempo reale e della micro-segmentazione nel rispondere a un attacco Zero-Day?

Anche se il software è vulnerabile, un cattivo attore potrebbe non essere necessariamente in grado di distribuire il suo exploit con successo se il target avesse problemi di controllo degli accessi ben progettati.,

• La visibilità in tempo reale consente ai team di sicurezza, IT ops e networking di modellare e comprendere il normale traffico e il comportamento delle applicazioni. Li aiuta a rilevare nuova connettività e insoliti tentativi falliti di connettersi a un carico di lavoro, che potrebbero essere indicatori di un attacco.
• La micro-segmentazione è un controllo preventivo. L’approccio predefinito-deny di Micro-segmentazione riduce la superficie di attacco. Ciò limita i percorsi di attacco di un exploit e rende più costoso per un cattivo attore propagare il proprio attacco all’interno della rete del proprio obiettivo.,
• Micro-segmentazione come controllo compensativo in caso di attacco. Quando un giorno zero viene divulgato pubblicamente e non è disponibile alcuna patch o se la patch non è operativamente fattibile, un’organizzazione può utilizzare la segmentazione a livello di processo per bloccare il traffico tra carichi di lavoro e tra carichi di lavoro e utenti solo su porte, protocolli e servizi specifici.

Per saperne di più

Esplora le opzioni di microsegmentazione per la tua organizzazione e proteggiti meglio dagli exploit zero-day. Ottenere micro-segmentazione.