Uma vulnerabilidade de dia zero é um bug ou uma falha de software que não foi corrigida. Os hackers podem usar esses bugs e falhas para roubar seus dados antes que você consiga encontrá-los e corrigí-los.
O que são vulnerabilidades?
Vulnerabilidades permitem que invasores passem por suas defesas e entrem na sua rede, como o software sem patches que permitiu a invasão na Equifax.
Como profissionais de segurança, lidamos regularmente com todos os tipos de vulnerabilidades, como bugs de software, hacks e vulnerabilidades humanas.
Bugs do software – como o que levou à violação de dados na Equifax – são falhas no código que os hackers podem usar para obter os dados. Hackers usam uma funcionalidade existente como parte do ataque: o ataque Golden Ticket, por exemplo, é um hack de escalonamento de privilégios que aproveita a maneira como o Microsoft Kerberos funciona normalmente. Vulnerabilidades humanas são exploradas com mais frequência por ataques de engenharia socia, que geralmente abusam da confiança (ou ingenuidade) para roubar senhas ou enviar dinheiro para os príncipes africanos.
O que faz uma vulnerabilidade de dia zero?
São bugs de software que os desenvolvedores têm “zero dias” para corrigir porque, no momento em que são identificados, já são grandes os riscos de segurança que podem causar danos significativos. Na maioria das vezes, esses bugs não são de conhecimento público e são corrigidos antes que os invasores possam criar um kit de exploração para aproveitar a falha.
Contanto que a vulnerabilidade de dia zero não seja pública, os desenvolvedores têm o tempo ao seu lado. No entanto, uma vez que ela se torne de conhecimento público, torna-se uma corrida para que uma correção seja lançada antes que algum dano ocorra.
Muitas empresas oferecem recompensas pela descoberta de vulnerabilidades em seus softwares. A Microsoft e o Google oferecem recompensas em dinheiro por reportar falhas diretamente a eles, com algumas alcançado cerca de US$ 100 mil.
Exploração dia zero
Uma exploração de Dia Zero é diferente de uma vulnerabilidade de dia zero. As explorações não precisam ser vulnerabilidades existentes, elas podem ser um novo malware. Uma exploração de dia zero é um novo tipo de ataque que requer correção imediata.
Quando uma vulnerabilidade de dia zero não é descoberta e corrigida, ela também se torna uma exploração de Dia Zero.
Explorações de dia zero são difíceis de serem detectadas e defendidas. As soluções de segurança baseadas em assinaturas não detectam uma exploração de dia zero e não há patches para corrigir brechas imediatamente.
Como se defender contra ataques de dia zero
Você pode criar uma rede segura que seja resiliente contra ataques de dia zero. Ao monitorar dados e comparar a atividade atual com uma linha de base estabelecida, você pode detectar anormalidades causadas por ataques de dia zero. Cada ataque deixa pegadas digitais nos dados e na rede.
Por exemplo, uma exploração de dia zero que concede o acesso a uma conta de usuário provavelmente fará com que essa conta aja de maneira anormal. O invasor pode tentar pesquisar na rede números de cartão de crédito ou listas de senhas ou tentar elevar a conta para um administrador de domínio. Com o Varonis, qualquer uma dessas atividades aciona um dos vários modelos de ameaças baseadas em comportamento e a sinaliza como suspeita. Então, o que você pode fazer para se proteger contra vulnerabilidades de dia zero?
Esse último ponto é fundamental: capacite a equipe para relatar comportamentos inadequados nos sistemas – os funcionários geralmente são a última linha de defesa contra um ataque de dia zero.
Exemplos de ataques de dia zero
Todos os anos, há pelo menos uma dúzia de vulnerabilidades de dia zero diferentes identificadas e corrigidas. Uma das mais infames é a vulnerabilidade do Strutshock usada na violação de dados da Equifax. Os desenvolvedores a corrigiram em março de 2017, mas a empresa não aplicou a correção.
Outros ataques de dia zero:
Dicas para evitar vulnerabilidades de dia zero
Proteger sua rede contra ataques de dia zero exige monitoramento de dados baseado em comportamento e que contribua para proteger contra ameaças conhecidas e desconhecidas. O Varonis DatAlert estabelece linhas de base comportamentais para detectar comportamentos incomuns, em atividades incomuns, e alerta sobre atividades suspeitas para que se possa responder e interromper a ameaça.