Como se Proteger Contra Vulnerabilidades Zero Day?
Primeiramente para as
pessoas que ainda estão começando no mundo da segurança, vamos definir o que
seria um ataque ou uma vulnerabilidade zero day. Vulnerabilidades zero day, são
aquelas que exploradas logo após a sua descoberta antes mesmo que se criem patches
e métodos de correção. Sendo assim, podemos dizer que esse é um ataque rápido
que ocorre antes que a comunidade de segurança, o fornecedor da ferramenta ou
serviço fique sabendo da vulnerabilidade ou tenha sido capaz de corrigi-la em
seu sistema. Tais façanhas são um Santo Graal para os hackers, pois eles se
aproveitam da falta de consciência do fornecedor e da falta de um patch,
permitindo assim, que o hacker consiga causar estragos gigantescos e muitas
vezes incalculáveis.
Esses exploits, são muitas
vezes descobertos por hackers que encontram uma vulnerabilidade em um produto
ou protocolo específico, como IIS da Microsoft, Internet Explorer ou protocolo
FTP. Uma vez descobertas, essas vulnerabilidades se disseminam rapidamente pela
internet através de blogs, chats e sites da comunidade hacker.
Como devemos nos proteger?
Nenhuma empresa pode se
proteger totalmente contra ataques desse tipo. No entanto, as empresas podem
tomar medidas razoáveis para garantir uma alta probabilidade de proteção, diminuindo
assim a probabilidade de serem afetadas por vulnerabilidades zero day. Para
isso, separamos em 4 passos principais que serão descritos abaixo:
- Prevenção: Boas práticas de segurança preventivas
são essenciais para se proteger. Estas incluem instalar e manter políticas de
firewall cuidadosamente combinados para as necessidades de negócios e de
aplicação. Mantendo atualizado o software antivírus, malwares, bloqueio de
anexos de arquivos potencialmente prejudiciais e manter todos os sistemas protegido
contra vulnerabilidades conhecidas. Varreduras de vulnerabilidades são um bom
meio de medir a eficácia de procedimentos preventivos, para isso indicamos que
seja utilizado algum método de gestão de vulnerabilidade sempre mapeando as
principais falhas dos sistemas.
- Proteção Ativa: Implantar sistemas de prevenção de
intrusão (IPS) embutidos que oferecem proteção abrangente tanto para a
infraestrutura como para a parte de aplicação. Ao considerar um IPS devemos
procurar principalmente pelos seguintes recursos: proteções tanto para o nível
de rede como para o nível de aplicação, verificação da integridade da aplicação
validação de conteúdo entre outros. Além disso, deve-se considerar a
implantação de firewalls específicos para aplicações (WAF), isso se deve pelo
fato que devido a utilização de plataformas, CMS e outras programações
pré-prontas as aplicações se tornaram um alvo fácil.
- Plano de
emergência para incidentes: Mesmo
com as medidas acima referidas, a empresa pode se infectar com um zero-day exploit.
Medidas de resposta a incidentes bem planejadas, com papéis e procedimentos
definidos, incluindo priorização de atividades de missão crítica são cruciais
para minimizar os danos negócio.
- Prevenir que se
espalhe: Isto pode ser
feito de duas maneiras: a primeira a se fazer isso bem efetivo é a criação de
políticas de segurança e acessos, dando acesso aos usuários de apenas aquilo
que lhe compete. Outra maneira é através da limitação, conexões para aquelas
consideradas obrigatórias, para as necessidades de negócios. Isto irá reduzir a
propagação e a exploração dentro da organização após a infecção inicial. Um
último ponto que pode ser utilizado para minimizar os danos causados pelos zero
day é a utilização de sistemas que concentram os logs e entregam inteligência
através deles, alguns exemplos são os SIEM’s e mais recentemente tivemos o
lançamento do FIDO pela Netflix, um sistema opensource, para organizar os logs
dos sistemas.
Explorações de
vulnerabilidades zero day são um dos maiores desafios, até mesmo para os
administradores de sistemas mais vigilantes e de grandes corporações. No
entanto, com as devidas salvaguardas no lugar podem reduzir muito os riscos
para os dados e sistemas críticos. Lembramos que não existe segurança 100%, mas
cabe aos administradores de sistema montar uma teia de proteção diminuindo esse
risco, ao mínimo aceitável pela diretoria.
0 comentários: