What is a Zero Day Exploit?

Gli exploit zero day prendono di mira le vulnerabilità a cui un produttore di software non ha ancora applicato le patch. Sfruttando vulnerabilità in gran parte sconosciute, questi exploit hanno un’alta probabilità di successo e sono difficili o impossibili da proteggere utilizzando strumenti di sicurezza informatica legacy.

eBook su come arrestare gli attacchi zero daty

Zero Day debolezza ed exploit

Le vulnerabilità nel software possono essere scoperte in diversi modi. In alcuni casi, la vulnerabilità viene scoperta internamente dal produttore del software o segnalata eticamente da un ricercatore di sicurezza esterno. In altri, la vulnerabilità viene scoperta e sfruttata dai criminali informatici.

 

La maggior parte degli exploit zero-day rientra in questa seconda categoria. In questo caso c’è un intervallo di tempo tra il primo sfruttamento pubblico della vulnerabilità e il rilascio delle difese mirate, sotto forma di firme malware o aggiornamenti software. Questo viene definito “giorno zero” ed è da qui che le vulnerabilità e gli exploit zero day prendono il nome.

Esempi di exploit zero-day

Un esempio di alcune vulnerabilità zero day è un insieme di vulnerabilità nei server Microsoft Exchange. Sebbene Microsoft abbia inizialmente scoperto queste vulnerabilità, i cicli lenti delle patch hanno fatto sì che molti server Exchange fossero ancora vulnerabili quando i criminali informatici hanno iniziato a sfruttare queste vulnerabilità.

 

Hafnium è un esempio di malware che sfrutta queste vulnerabilità di Exchange. Sfrutta queste vulnerabilità per ottenere l'accesso a un server Exchange vulnerabile ed elevare i propri privilegi sul sistema. Questo malware è progettato per eseguire la raccolta di informazioni, cercando di rubare le credenziali dell'utente e le e-mail dai sistemi sfruttati.

Sfide di sicurezza degli exploit zero-day

Le vulnerabilità e gli exploit zero-day rappresentano una preoccupazione significativa per il personale della sicurezza informatica perché è difficile difendersi. Alcune delle sfide per la sicurezza degli exploit zero-day includono:

 

  • Mancanza di firme: molte soluzioni di sicurezza informatica, come alcuni sistemi di prevenzione delle intrusioni (IPS), si basano sulle firme per identificare e bloccare malware e altri attacchi. Con un exploit zero-day, i ricercatori di sicurezza informatica non hanno ancora avuto l'opportunità di sviluppare e rilasciare una firma per l'exploit, il che significa che queste soluzioni sono cieche ad esso.
  • Sviluppo lento delle patch: con un exploit zero day, il processo di sviluppo delle patch inizia quando la vulnerabilità diventa pubblica (ovvero quando gli attacchi che la sfruttano vengono rilevati in the wild). Una volta che la vulnerabilità diventa pubblica, il produttore del software deve comprenderla e sviluppare, testare e rilasciare una patch prima che possa essere applicata ai sistemi vulnerabili. Durante questo processo, qualsiasi dispositivo non protetto è vulnerabile allo sfruttamento utilizzando la vulnerabilità.
  • deployment lenta delle patch: anche dopo la creazione di una patch, le aziende impiegano tempo per applicarla al proprio software vulnerabile. Questo è il motivo per cui il malware Hafnium riesce a infettare il dispositivo anche dopo che Microsoft ha reso disponibile una patch.

 

Per questi motivi, un approccio reattivo alla sicurezza informatica basato su firme e patch non è efficace per le vulnerabilità e gli exploit zero-day. Le organizzazioni devono prevenire in modo proattivo gli attacchi per bloccare questi nuovi exploit.

Come proteggersi dagli exploit zero-day

Per gli exploit zero-day, il problema principale che le organizzazioni devono affrontare è la mancanza di informazioni. Se un team di sicurezza dispone di informazioni su una particolare minaccia, è possibile configurare soluzioni di sicurezza per bloccare tale minaccia. Tuttavia, ottenere l'accesso a queste informazioni e diffonderle attraverso l'architettura di sicurezza di un'organizzazione è una sfida importante per molte organizzazioni.

 

Una protezione zero-day efficace richiede un'architettura di sicurezza con le seguenti funzionalità:

 

  • Consolidamento: Molte organizzazioni si affidano a una raccolta disaggregata di soluzioni di sicurezza puntuali, difficili da gestire e gestire. Il consolidamento della sicurezza garantisce che, una volta scoperta una minaccia zero-day, l'intera architettura di sicurezza di un'organizzazione sia in grado di identificarla e rispondervi in modo coordinato.
  • Motorithreat prevention : i motori threat prevention sono soluzioni di rilevamento specializzate progettate per identificare le caratteristiche comuni del malware e le tecniche di attacco. Ad esempio, un motore threat prevention può eseguire l'ispezione della CPU per rilevare la programmazione orientata al ritorno (ROP) o cercare codice riutilizzato da malware noto.
  • threat intelligence: le informazioni sono fondamentali per la lotta contro gli exploit zero day. L'accesso a una fonte di threat intelligence di alta qualità consente a un'organizzazione di imparare dall'esperienza degli altri e di scoprire le minacce zero-day prima che vengano prese di mira.

 

L'approccio preventivo di Check Point è l'unico modo per proteggersi efficacemente dalle minacce sconosciute come gli exploit zero day. ThreatCloud IA è il più grande database di intelligence sulle minacce informatiche al mondo ed elabora una media di 86 miliardi di transazioni al giorno. Ciò consente di identificare circa 7.000 minacce precedentemente sconosciute ogni giorno, consentendo alle organizzazioni di rilevare e bloccare questi exploit zero-day contro i loro sistemi.

 

ThreatCloud IA sfrutta l'intelligenza artificiale (IA) per elaborare i dati e rilevare le minacce. Per saperne di più sull'importanza dell'IA per il rilevamento degli exploit zero day, consulta questo white paper. Puoi anche  registrarti per una demo per vedere come le soluzioni Advanced Endpoint Protection di Check Point possono proteggere la forza lavoro remota della tua organizzazione dalle minacce zero-day.

Per iniziare

Threat intelligence & research

Protezione Zero-Day

Zero-day attack whitepaper

Rapporto di violazione NSS

Zero Trust Security

Argomenti correlati

Attacco zero-day

Prevenire gli attacchi zero-day

ransomware Attacco

Rilevamento e risposta alle minacce (TDR)

×
  Feedback
Questo sito Web utilizza i cookie per motivi funzionali e a scopo di analisi e marketing. Continuando a utilizzare il sito Web, accetti implicitamente l'uso dei cookie. Per ulteriori informazioni, si prega di leggere la nostra Informativa sui cookie.
OK