Por Amir Frankel
O que é um ataque de zero day?
Um ataque de zero day (ou “0-day”) acontece quando um hacker encontra e explora uma vulnerabilidade no sistema antes que os desenvolvedores ou proprietários tenham tempo de corrigir o problema, ou em alguns casos, sequer se tornam cientes dele.
As vulnerabilidades zero day que levam a ataques incluem: algoritmos defeituosos, falhas de programação, falta de criptografia ou autorizações, e medidas de segurança insuficientes. Como essas vulnerabilidades podem ser difíceis de detectar, também são difíceis de proteger de maneira eficaz.
Claro, a pequena vantagem disso é que pode ser difícil para os hackers encontrarem essas vulnerabilidades também. A má notícia? Se um hacker consegue encontrar e explorar uma vulnerabilidade, ele pode causar muitos danos enquanto o proprietário do sistema está tentando construir um patch, ou até mesmo antes de saber que um ataque ocorreu.
Por que os ataques de zero day são um problema?
Os ataques zero day podem ser particularmente destrutivos porque, em muitos casos, o atacante é a única parte ciente da vulnerabilidade. Pode levar de algumas horas até alguns anos para que os proprietários do sistema se atualizem em relação ao atacante e encontrem a vulnerabilidade que levou ao ataque, se contar com o tempo para construir um patch para isso. Enquanto isso, a parte maliciosa tem acesso irrestrito ao sistema; eles podem roubar dados e causar muitos danos. Em outros casos, os atacantes podem ficar esperando o momento mais vantajoso para atacar, o que é mais uma razão pela qual os ataques zero day podem ser tão insidiosos.
Esses ataques são uma preocupação significativa para desenvolvedores e equipes de segurança devido à dificuldade de diagnosticá-los e se defender contra eles antes que grandes danos sejam causados. Mesmo depois que um ataque zero day é detectado, pode levar algum tempo para que os desenvolvedores investiguem, desenvolvam, testem e implantem um patch, deixando sistemas e dispositivos desprotegidos e vulneráveis ao ataque.
Outra preocupação é que os ataques zero day agora estão ao alcance até de pequenas gangues de extorsão (enquanto antes eram acessíveis apenas para grandes jogadores com muitos recursos, como estados-nação). Isso se deve ao aumento de ransomwares e ao trabalho remoto.
Exemplos de ataques de zero day
Stuxnet: Este é talvez o exemplo mais conhecido de um ataque zero day (ele até virou um filme!). Em 2010, desenvolvedores da Siemens descobriram um ataque a máquinas que executavam software de controlador lógico programável (PLC) que estava em andamento há 5 anos. O objetivo era interromper o programa nuclear do Irã, e a vulnerabilidade que os hackers haviam explorado estava no software Step7 da Siemens. O erro permitiu que os hackers controlassem algumas máquinas de linha de montagem por meio do software PLC.
Zoom: Em 2020, uma vulnerabilidade no Windows 7 permitiu que um atacante remoto assumisse completamente outro PC executando uma versão específica do Zoom e roubasse arquivos.
Hafnium: Outro exemplo foram os ataques Hafnium aos servidores Microsoft Exchange em 2021. Este malware permitiu que os atacantes tivessem acesso privilegiado aos servidores Exchange, coletassem informações e roubassem credenciais de usuários. A Microsoft descobriu rapidamente o ataque, mas levou muito mais tempo para desenvolver e implantar um patch.
Proteção para ataques de zero day
Para proteger sua organização contra ataques zero day, adotar uma abordagem reativa, como baseada na criação de patches apenas após a descoberta do ataque, não é eficaz o suficiente. Em vez disso, as organizações precisam se preparar proativamente e ser capazes de impedir que os ataques se espalhem. Por quê? Uma razão é que as equipes de segurança estão sobrecarregadas com alertas. Não importa quão bons sejam seus métodos de detecção se eles estiverem lidando com centenas ou milhares de alertas por dia. Mesmo se detectarem uma anomalia real, ter a capacidade de investigá-la completamente pode ser difícil.
Aqui estão algumas etapas a serem seguidas para se preparar ativamente e impedir ataques de zero day antes que eles aconteçam:
- Mantenha sempre o software e os sistemas operacionais atualizados
- Empregue medidas de segurança, como autenticação multifatorial
- Implemente uma estratégia de Zero Trust para segurança de rede.
A solução Zero Networks
Zero Networks oferece uma maneira rápida e fácil de alcançar o Zero Trust e proteger sua organização contra ataques de zero day. Criamos uma forma de permitir uma conexão de rede just-in-time (JIT) segmentando a rede no nível do firewall do host. O que isso significa é que quase todas as conexões de rede não são permitidas. Por isso, mesmo que haja uma vulnerabilidade de zero day, o atacante não poderá ver a porta e explorá-la.
A solução da Zero Networks permite o tráfego normal de usuários sem interromper aplicativos e aplica acesso JIT baseado em MFA para contas administrativas, que os atacantes adoram explorar. Acredita-se que a autenticação multifatorial (MFA) pode bloquear 99,9% dos ataques, pois o atacante precisa passar pelo processo de MFA antes que a porta da rede seja aberta, limitando sua superfície de ataque a… nada. Mesmo que eles consigam invadir a rede, esse JIT baseado em MFA impede que os atacantes se espalhem.
Sobre a Zero Networks
A Zero Networks está resolvendo o maior desafio da cibersegurança: tornar a segurança de rede de nível militar disponível para todos, independentemente de habilidade, tamanho ou complexidade. Por anos, a microsegmentação foi a terra prometida, mas nunca pôde ser alcançada em grande escala. A MFA, que deveria ser a medida de segurança definitiva, não pode ser aplicada a todos os serviços e protocolos. Como resultado, as redes permanecem abertas por dentro, e o trabalho dos atacantes se torna fácil assim que eles entram em pelo menos uma máquina dentro da rede.
A Zero Networks, em vez disso, cria um paradigma. Um que torna a microsegmentação rápida, fácil, eficaz e implantável por qualquer pessoa. Essa abordagem moderna é auto atendida e automatizada, eliminando a necessidade de agentes e aproveitando o firewall baseado em host para a aplicação de regras.
