Approfondimenti chiave
- Secondo un rapporto di FireEye, zero-day hanno rappresentato lo 0,1% di tutte le vulnerabilità sfruttate, evidenziandone la rarità ma anche il significativo impatto.
- Il rapporto "The Cost of a Data Breach Report 2020" di IBM ha rilevato che il tempo medio necessario per identificare e contenere una violazione era di 280 giorni, sottolineando la natura furtiva degli zero-day .
Che cos'è una Zero-Day ?
Uno zero-day una vulnerabilità precedentemente sconosciuta nel software o nell'hardware che gli hacker possono sfruttare prima che lo sviluppatore o il produttore ne venga a conoscenza e rilasci una patch o una correzione. Il termine "zero-day" si riferisce al fatto che gli sviluppatori hanno "zero giorni" per risolvere il problema perché non ne sono a conoscenza.
Queste vulnerabilità sono molto ricercate dalla comunità dei criminali informatici perché possono essere utilizzate per lanciare attacchi con elevate probabilità di successo, spesso aggirando le misure di sicurezza esistenti. Zero-day sono pericolosi perché possono rimanere inosservati per molto tempo, causando potenzialmente danni significativi prima che venga rilasciata e applicata una patch.
Esiste un modo per prevenire gli zero day?
Prevenire zero-day e gli exploit è difficile, ma esistono diverse strategie che possono aiutare a mitigare i rischi associati a questi attacchi sofisticati.
L'implementazione di sistemi avanzati di rilevamento delle minacce che utilizzano l'apprendimento automatico e l'analisi comportamentale può essere fondamentale per identificare attività insolite che potrebbero indicare un zero-day . Anche il monitoraggio continuo e la visibilità in tempo reale delle endpoint sono essenziali per affrontare rapidamente qualsiasi comportamento sospetto.
Una maggiore sicurezza della rete grazie alla segmentazione della rete può contenere potenziali violazioni e limitare il movimento laterale degli aggressori all'interno della rete. I sistemi di rilevamento e prevenzione delle intrusioni (IDPS) che monitorano il traffico di rete alla ricerca di attività sospette sono in grado di rilevare e bloccare zero-day sulla base del comportamento piuttosto che solo delle firme note. Tuttavia, anche se combinati con altri strumenti come XDR, EDR, SIEM e firewall, i sistemi di rilevamento delle intrusioni non sono in grado di individuare facilmente le minacce sconosciute o di bloccare gli attacchi già presenti all'interno della rete.
L'inserimento delle applicazioni nella whitelist garantisce che solo le applicazioni approvate vengano eseguite sui sistemi, riducendo il rischio di esecuzione di software dannoso. Una formazione regolare sulla sicurezza aiuta i dipendenti a riconoscere phishing e altre tattiche di ingegneria sociale che potrebbero portare a zero-day . L'esecuzione regolare di valutazioni della vulnerabilità e test di penetrazione consente di identificare e risolvere potenziali punti deboli prima che gli aggressori possano sfruttarli.
Le soluzioni EDR (Endpoint and Response) offrono un monitoraggio continuo e una risposta rapida alle minacce agli endpoint, utilizzando analisi avanzate per rilevare le anomalie. Il mantenimento di backup regolari e di solidi piani di ripristino garantisce la continuità operativa in caso di attacco riuscito, riducendo al minimo i danni e i tempi di ripristino. Tuttavia, per quanto queste tecnologie possano essere efficaci contro alcune tecniche di attacco, gli aggressori odierni sono altrettanto efficienti nel trovare lacune di esposizione al di là di questi controlli.
Sebbene sia impossibile prevenire completamente zero-day , queste misure possono ridurre significativamente il rischio e l'impatto degli zero-day su un'organizzazione.
Esempio di un attacco iniziato con un Zero-Day
L'immagine sottostante rappresenta un attacco zero-day simulato che inizia con l'aggressore che sfrutta un server di condivisione file esposto su cui non è possibile eseguire endpoint e la risposta endpoint (EDR).
L'autore dell'attacco distribuisce quindi il comando e controllo (C2) per il controllo esterno, mappa la rete e si sposta lateralmente utilizzando l'esecuzione di codice remoto per accedere a un server, scoprendo infine un account amministratore. Bypassa l'autenticazione a più fattori (MFA) utilizzando un server di salto per accedere ad Azure AD e Microsoft 365 (M365), consentendo un accesso persistente e scoprendo documenti di valore.
L'autore dell'attacco utilizza l'accesso federato per connettersi ad AWS, ma viene rilevato e bloccato da Vectra AI poter accedere a dati di alto valore.
Le rilevazioni Vectra AI includono tunnel HTTPS nascosti, esecuzioni remote sospette, anomalie dei privilegi e scoperte dell'organizzazione AWS, consentendo all'analista di bloccare l'account compromesso e fermare l'attacco in tempo reale.
Se siete preoccupati per zero-day e il loro potenziale impatto sulla vostra organizzazione, il team di Vectra AI qui per aiutarvi. Offriamo soluzioni all'avanguardia progettate per rilevare e mitigare queste minacce prima che possano causare danni. Contattateci oggi stesso per saperne di più su come possiamo migliorare la vostra sicurezza informatica.
Altri fondamenti della sicurezza informatica
Domande frequenti
Che cos'è una Zero-Day ?
Una zero-day è un difetto di sicurezza del software sconosciuto al fornitore o allo sviluppatore del software. Questa vulnerabilità può essere sfruttata dagli aggressori prima che il fornitore ne venga a conoscenza e rilasci una patch per risolverla.
Come vengono scoperte Zero-Day ?
Queste vulnerabilità possono essere individuate attraverso vari mezzi, tra cui ricerche sulla sicurezza, scoperte accidentali durante operazioni di routine o durante un attacco attivo quando viene rilevata un'attività insolita.
Perché Zero-Day sono così pericolose?
Zero-day sono particolarmente pericolose perché non esistono difese contro di esse quando vengono scoperte per la prima volta. Ciò consente agli aggressori di sfruttarle per ottenere accesso non autorizzato a sistemi e dati.
Cosa si può fare per proteggersi dagli Zero-Day ?
Per proteggersi dagli zero-day , i team di sicurezza dovrebbero implementare una strategia di sicurezza multilivello che includa aggiornamenti software regolari, sistemi avanzati di rilevamento delle minacce e una formazione completa sulla consapevolezza della sicurezza.
In che modo i team di sicurezza rilevano Zero-Day ?
I team di sicurezza utilizzano una combinazione di informazioni sulle minacce, strumenti di rilevamento delle anomalie e analisi comportamentale per identificare potenziali zero-day . Anche le valutazioni periodiche della sicurezza e i test di penetrazione svolgono un ruolo cruciale.
Qual è il ruolo dell'intelligenza artificiale nell'individuazione Zero-Day ?
L'intelligenza artificiale (AI) e l'apprendimento automatico possono migliorare significativamente il rilevamento delle zero-day analizzando grandi volumi di dati per identificare modelli e anomalie che potrebbero indicare un nuovo exploit.
Con quale frequenza si verificano Zero-Day ?
Zero-day sono relativamente rare rispetto alle vulnerabilità note, ma il loro impatto può essere molto più significativo. La frequenza con cui vengono scoperte varia notevolmente a seconda del software e dell'impegno della comunità di sicurezza.
Quali sono gli obiettivi più comuni degli Zero-Day ?
Gli obiettivi comuni includono applicazioni software e sistemi operativi ampiamente utilizzati, poiché questi offrono il potenziale per un impatto diffuso.
Come dovrebbero reagire i team di sicurezza a una Zero-Day ?
Le azioni immediate includono l'isolamento dei sistemi interessati, l'applicazione di misure di mitigazione temporanee e il monitoraggio attento del traffico di rete per individuare eventuali segni di sfruttamento fino a quando non sarà disponibile una patch.
Esistono esempi significativi di Zero-Day ?
Esempi degni di nota includono Stuxnet, che ha preso di mira i sistemi di controllo industriale, e le recenti vulnerabilità di Microsoft Exchange Server sfruttate negli attacchi Hafnium.