Os ataques de zero-day ocorrem através de brechas de segurança que nem mesmo o fabricante conhecia.
São consideradas brechas de segurança do tipo zero-day aquelas que cibercriminosos encontram e podem explorar antes que os próprios fabricantes tenham o conhecimento sobre ela.
Obviamente, nem todas as falhas encontradas, são consideradas zero-day. Além disso, muitas brechas são descobertas diariamente por profissionais que trabalham em projetos como Bug Hunting.
Em um cenário em que cada dia mais coisas estão conectadas a internet (IoT), também crescem as oportunidades para falhas, que hoje podem partir até mesmo de uma geladeira. Um hacker pode se conectar a uma falha em qualquer dispositivo ligado a rede, e a partir disso, atacar toda a organização.
Quais as origens de uma falha zero-day?
Toda criação está sujeita a falhas, e uma desenvolvedora de softwares, por exemplo, pode ter um produto em mãos que, embora possua todas as mecânicas para funcionar de maneira segura, tenha um ponto ou momento falho que será descoberto por um usuário comum, ou na pior das hipóteses, um hacker.
A empresa que comercializa o software não identifica a falha na fase de testes e com isso ele é liberado ao mercado.
Existem dois tipos de pessoas que se interessam por encontrar essas falhas nos diversos softwares em circulação: cibercriminosos, que visam explorar essa brecha, ou um whitehat, que pode reporta-la aos responsáveis. No segundo caso existem programas que recompensam esse comportamento.
Entretanto, no período entre o momento que a falha é explorada até, ser corrigida, o estrago pode ser muito grande, como no caso em que usinas nucleares se tornaram alvos de ataques cibernéticos devido a esse tipo de falha ou em um exemplo mais recente como o Google que teve uma falha do tipo descoberta e reportada.
Os perigos de estar vulnerável a um ataque zero-day
Ser vítima de um ataque zero-day pode permitir que malwares sequestrem dados do usuário, bem como dar privilégios de controle para cibercriminosos atuarem com infecção do ambiente.
Aplicativos podem ser instalados também para visualizar e/ou corromper arquivos, realizar envio de spams e roubo de informações sigilosas.
No caso citado acima, em que usinas nucleares foram vítimas de um ataque deste tipo, um worm interrompeu as usinas a partir do SCADA com objetivo de elevar a aceleração das centrífugas e causar danos a estrutura da construção.
Outro caso famoso é o do ransomware WannaCry que sequestrou informações de 150 países, incluindo o Brasil) e os criptografou. Para piorar a situação, o WannaCry tinha também características de worm. A partir de uma falha no sistema Windows, esse ransonworm causou uma escalada que infectou trezentos e cinquenta mil máquinas em todo o mundo.
O mais trágico, entretanto, é que a falha explorada nesse caso já havia sido corrigida um mês antes. Conclusão: os endpoints estavam desatualizados e se tornaram vulneráveis.
Prevenção de um ataque de zero-day
Como vimos, qualquer software está sujeito a uma brecha do tipo, entretanto sistemas desatualizados podem estar mais vulneráveis.
É consenso que o alvo mais vulnerável quando se trata de segurança da informação é o usuário final, e muitos hackers miram justamente aí para tentar penetrar nas falhas das organizações. A falta de uma política de segurança da informação amplia consideravelmente as chances de um ataque desse tipo.
Em momentos atuais, em que os ataques digitais se mostram cada vez mais frequentes e poderosos, é absolutamente necessário que todos aprendam a se proteger, conhecendo as vulnerabilidades mais comuns.
Uma estrutura de defesa eficiente, deve estar preparada para lidar com diversas tecnologias, processos e usuários e oferecer proteção à rede, monitoramento de aplicativos e controle de endpoints, sem prejudicar o desempenho do sistema.
E embora seja um grande desafio combater brechas zero-day, alguns cuidados podem oferecer um cenário melhor para lidar com um ataque desta natureza.
Algumas práticas que podem servir para evitar um ataque do tipo, são:
- Mantenha seus sistemas sempre atualizados
Uma prática comum no meio da segurança de informação, mas que ainda continua sendo negligenciada em ambientes corporativos: seja pela grande quantidade de máquinas ou pela complexidade da logística que envolve atualizar todos os sistemas.
Entretanto, negligenciar um ponto tão básico significa se colocar em risco e em desvantagem no mercado. Aqui é importante ressaltar que ao falarmos de sistemas, nos referimos a todos os softwares da empresa e não apenas aos sistemas operacionais, visto que as aplicações comuns como Java e Adobe possuem um histórico de muitas falhas zero-day descobertas.
- Mantenha a máquina limpa de softwares
Um mau hábito comum é manter diversos programas que não são utilizados em uma máquina. Porém, quanto mais aplicações na máquina, maiores as chances de se tornar vulnerável a um ataque de zero-day. Além disso, manter o dispositivo “limpo”, por assim dizer, facilita o processo de atualização dos sistemas como um todo, especialmente lidando com isso no nível de uma empresa onde podem existir dezenas ou centenas de aparelhos
- NGAV
A abreviação para NEXT GENERATION ANTI-VÍRUS. As aplicações comuns de proteção não conseguem garantir uma proteção efetiva do endpoint com base em blacklists, já que isso não as capacita de identificar essas ameaças.
Percebendo essa necessidade no mercado, fabricantes tem desenvolvido tecnologias baseadas em Inteligência Artificial e Machine Learning para identificar comportamentos suspeitos nas aplicações e bloqueá-los, antes que se espalhem.
Esse novo tipo de anti-vírus combina diversas técnicas de prevenção e atua a partir da percepção da máquina sobre os processos normais dos sistemas e bloqueando aquilo que é anormal. Isso bloqueia a execução de um código maliciosa no início.
Os NGAVs ainda monitoram em tempo real os comportamentos de todos os softwares e análise de processos na execução de atividades comuns como memória, rede e disco.
Isso os torna especialmente eficazes contra ataques de zero-day, já que estes começam justamente em processos do sistema para mascarar suas atividades e não serem percebidos.
Entender sobre a natureza desse tipo de ataque é o primeiro passo para definir os controles de proteção que serão adotados.
As vulnerabilidades podem não partir de novidades tecnológicas
A Engenharia Social pode representar uma grande vulnerabilidade durante períodos de adaptação como esse, e por isso, a Compugraf preparou um guia muito completo sobre o tema. Confira!
Como a sua empresa lida com o acesso remoto dos arquivos corporativos?
Converse com um especialista em segurança da informação da Compugraf para descobrir como sua empresa pode implementar as melhores soluções de segurança durante a transformação digital e a mudança para o trabalho remoto!
