Como se Proteger Contra Vulnerabilidades Zero Day?

17:57 Roberto Muszkat 0 Comentarios



Primeiramente para as pessoas que ainda estão começando no mundo da segurança, vamos definir o que seria um ataque ou uma vulnerabilidade zero day. Vulnerabilidades zero day, são aquelas que exploradas logo após a sua descoberta antes mesmo que se criem patches e métodos de correção. Sendo assim, podemos dizer que esse é um ataque rápido que ocorre antes que a comunidade de segurança, o fornecedor da ferramenta ou serviço fique sabendo da vulnerabilidade ou tenha sido capaz de corrigi-la em seu sistema. Tais façanhas são um Santo Graal para os hackers, pois eles se aproveitam da falta de consciência do fornecedor e da falta de um patch, permitindo assim, que o hacker consiga causar estragos gigantescos e muitas vezes incalculáveis.

Esses exploits, são muitas vezes descobertos por hackers que encontram uma vulnerabilidade em um produto ou protocolo específico, como IIS da Microsoft,  Internet Explorer ou protocolo FTP. Uma vez descobertas, essas vulnerabilidades se disseminam rapidamente pela internet através de blogs, chats e sites da comunidade hacker.


Como devemos nos proteger?

Nenhuma empresa pode se proteger totalmente contra ataques desse tipo. No entanto, as empresas podem tomar medidas razoáveis para garantir uma alta probabilidade de proteção, diminuindo assim a probabilidade de serem afetadas por vulnerabilidades zero day. Para isso, separamos em 4 passos principais que serão descritos abaixo:

- Prevenção: Boas práticas de segurança preventivas são essenciais para se proteger. Estas incluem instalar e manter políticas de firewall cuidadosamente combinados para as necessidades de negócios e de aplicação. Mantendo atualizado o software antivírus, malwares, bloqueio de anexos de arquivos potencialmente prejudiciais e manter todos os sistemas protegido contra vulnerabilidades conhecidas. Varreduras de vulnerabilidades são um bom meio de medir a eficácia de procedimentos preventivos, para isso indicamos que seja utilizado algum método de gestão de vulnerabilidade sempre mapeando as principais falhas dos sistemas.

- Proteção Ativa: Implantar sistemas de prevenção de intrusão (IPS) embutidos que oferecem proteção abrangente tanto para a infraestrutura como para a parte de aplicação. Ao considerar um IPS devemos procurar principalmente pelos seguintes recursos: proteções tanto para o nível de rede como para o nível de aplicação, verificação da integridade da aplicação validação de conteúdo entre outros. Além disso, deve-se considerar a implantação de firewalls específicos para aplicações (WAF), isso se deve pelo fato que devido a utilização de plataformas, CMS e outras programações pré-prontas as aplicações se tornaram um alvo fácil.

- Plano de emergência para incidentes: Mesmo com as medidas acima referidas, a empresa pode se infectar com um zero-day exploit. Medidas de resposta a incidentes bem planejadas, com papéis e procedimentos definidos, incluindo priorização de atividades de missão crítica são cruciais para minimizar os danos negócio. 

- Prevenir que se espalhe: Isto pode ser feito de duas maneiras: a primeira a se fazer isso bem efetivo é a criação de políticas de segurança e acessos, dando acesso aos usuários de apenas aquilo que lhe compete. Outra maneira é através da limitação, conexões para aquelas consideradas obrigatórias, para as necessidades de negócios. Isto irá reduzir a propagação e a exploração dentro da organização após a infecção inicial. Um último ponto que pode ser utilizado para minimizar os danos causados pelos zero day é a utilização de sistemas que concentram os logs e entregam inteligência através deles, alguns exemplos são os SIEM’s e mais recentemente tivemos o lançamento do FIDO pela Netflix, um sistema opensource, para organizar os logs dos sistemas.

Explorações de vulnerabilidades zero day são um dos maiores desafios, até mesmo para os administradores de sistemas mais vigilantes e de grandes corporações. No entanto, com as devidas salvaguardas no lugar podem reduzir muito os riscos para os dados e sistemas críticos. Lembramos que não existe segurança 100%, mas cabe aos administradores de sistema montar uma teia de proteção diminuindo esse risco, ao mínimo aceitável pela diretoria.

0 comentários: