Punti chiave
Cosa sono le vulnerabilità Zero-Day e perché sono pericolose?
- Cos’è: Una vulnerabilità zero-day è una falla del software sconosciuta al fornitore e non patchata, che offre agli aggressori la possibilità di sfruttarla prima che sia disponibile una correzione.
- Come approcciarsi: Identifica i rischi attraverso la scansione delle vulnerabilità, i test di penetrazione e il monitoraggio comportamentale; applica rapidamente le patch una volta disponibili; riduci la superficie di attacco grazie alla gestione della configurazione, i firewall e il whitelisting delle applicazioni.
- Best practice: Automatizza il patch management, utilizza la segmentazione della rete e i framework zero-trust, mantieni un inventario chiaro delle risorse, applica i controlli di accesso e allinea i team IT, di sicurezza e di sviluppo per una risposta più rapida.
- Perché sono importanti: Gli exploit zero-day possono causare gravi violazioni, perdite di dati e tempi di inattività. Il rilevamento pro-attivo, le difese stratificate e la rapida riparazione sono essenziali per ridurre al minimo l’esposizione e mantenere la resilienza dell’organizzazione.
Nessun codice collegato a Internet è veramente sicuro. Il processo di sviluppo odierno è profondamente iterativo e questo panorama di codice in continua evoluzione può talvolta esporre vulnerabilità critiche. Quando queste falle vengono scoperte per prime dagli aggressori, gli exploit zero-day non minacciano solo la tua integrità. Sfrutta anche i partner aziendali e i membri dei team di tutta l’organizzazione. In assenza di consapevolezza da parte del fornitore e senza patch disponibili, gli aggressori sono in grado di penetrare con relativa facilità nelle vulnerabilità zero-day.
Un esempio recente si è verificato a fine agosto 2023. Il protocollo HTTP/2 definisce l’architettura di internet moderno, collegando le richieste del lato client ai server associati. In questo attacco, gli attori malintenzionati hanno individuato una tecnica nota come HTTP/2 Rapid Reset, che consente loro di moltiplicare le richieste su una singola connessione.
Nel regno degli attacchi DDoS (Distributed Denial of Service) il volume delle richieste ne definisce il successo. Annullando centinaia di migliaia di flussi HTTP/2 su connessioni centralizzate, questi attacchi hanno raggiunto rapidamente volumi impressionanti. Ha addirittura raggiunto un picco di 398 milioni di richieste al secondo (RPS) per Google, 155 milioni di RPS per AWS e 201 milioni di RPS per Cloudflare.
Ancora più preoccupante è il fatto che questi attacchi sono stati orchestrati utilizzando una botnet relativamente piccola.
Cosa sono le vulnerabilità zero-day?
Il termine “zero-day” deriva dalla terminologia di crisi, che descrive un singolo momento in cui un sistema critico si guasta. Nel senso della cybersecurity, le difese di un software vengono rese obsolete. Questo perché gli aggressori trovano un modo per eludere i controlli di sicurezza altamente sensibili. Anche prima che gli sviluppatori del software si rendano conto della falla. A causa della mancanza di patch disponibili, gli utenti sono completamente privi di protezione.
In genere, una tempistica zero-day si evolve in modo familiare: uno sviluppatore di software o un’organizzazione introduce inavvertitamente una vulnerabilità nel proprio software. Un soggetto esterno rileva quindi questa vulnerabilità prima che vengano effettuate le operazioni di rimedio. Con l’obiettivo di trarre vantaggio da questa situazione, quello che scopre la vulnerabilità elabora un codice maligno progettato per sfruttare la vulnerabilità.
Per scatenare questo nuovo exploit su una vittima ignara, spesso viene inserito in una campagna di phishing più ampia. Aiuta a convincere gli utenti finali a fornire il codice al sistema vulnerabile. Una volta che l’attacco ha avuto successo, è scattato l’allarme per l’esistenza della minaccia. Gli sviluppatori si affannano a implementare una patch per il loro software.
Quando la patch diventa disponibile, la vulnerabilità cessa di essere classificata come minaccia zero-day. Soprattutto in seguito alla pubblicazione di ulteriori informazioni alle parti interessate. Da lì, spetta alle organizzazioni interessate installare la patch prima che gli aggressori imitatori sfruttino la nuova vulnerabilità.
Vulnerabilità zero-day: rilevamento e scoperta
Quando hai a che fare con gli zero-day, ogni ora è importante. Il rilevamento ruota attorno a quattro funzionalità chiave.
Scansione regolare delle vulnerabilità
Indipendentemente dagli sforzi compiuti da un’organizzazione, le vulnerabilità si manifestano sempre. I comuni errori di codifica possono sempre esporre potenziali vulnerabilità e creare opportunità per gli attori malintenzionati. Questo vale soprattutto per gli strumenti di terze parti che costituiscono la spina dorsale della produttività dei membri del tuo team. Le scansioni regolari dei sistemi di produzione critici devono essere effettuate almeno una volta al trimestre. Inoltre, tutti i sistemi di nuova concezione dovrebbero essere sottoposti a una scansione delle vulnerabilità prima di essere distribuiti.
Test di penetrazione
Itest di penetrazione lavorano in parallelo con la scansione delle vulnerabilità. Gli esperti verificati lavorano per trovare le lacune nel codice e nelle configurazioni preesistenti. Il test di penetrazione sfrutta il fatto che la gravità delle vulnerabilità riguarda chi conosce la falla.
Si concentrerà su questo aspetto piuttosto che su quello che è necessariamente il difetto. I ricercatori white hat sono le persone che vuoi che sottopongano a stress test le tue reti. Gli hacker sponsorizzati dagli Stati, invece, sperano attivamente che non te ne accorga.
Ogni mese si verificano nuovi esempi di attacchi sponsorizzati da stati nazionali: a ottobre 2023, il più recente è lo zero-day di Atlassian. Misurato a 10 sulla Scala di criticità CVE, Microsoft ha già lanciato un avvertimento pubblico su attori statali sostenuti dalla Cina che tentano di approfittarne. Il test di penetrazione non si limita a scoprire le vulnerabilità che potrebbero non essere evidenti con la sola scansione.
Evidenzia, anche, qualsiasi potenziale percorso di attacco che può essere costruito a partire da piccole e apparentemente innocenti configurazioni errate.
Gestione e delega delle minacce
Le quattro categorie di vulnerabilità tecnologiche sono fisiche, basate sul personale, basate sulla configurazione e basate sulle applicazioni. Tieni d’occhio ognuno di questi campi non richiede solo strumenti leader del settore. Richiede, anche, una roadmap di rilevamento e mitigazione finemente affinata. La chiave di tutto ciò è un team di risposta agli incidenti competente. Per le organizzazioni soggette a vincoli di budget più severi, il servizio di risposta agli incidenti del proprio provider IT deve essere il primo a esserne informato.
L’adozione di un approccio basato sul rischio consente di incanalare le informazioni in una documentazione basata sull’azione. Ad esempio, i tuoi dipendenti si affidano a un flusso costante di comunicazioni via e-mail durante tutta la giornata lavorativa. Tuttavia, è necessario trovare l’unico errore che invia la documentazione sensibile ai phisher. In questo modo, l’identificazione è solo la prima delle quattro fasi principali di mitigazione della vulnerabilità. Ma è di gran lunga il più importante.
Registrazione e analisi del comportamento
Prendiamo l’esempio precedente di trovare un’e-mail dannosa nel pagliaio di una caselle di posta. Questa analisi basata sul comportamento fornisce una nuova lente attraverso la quale distinguere una persona che ha intenzione di fare un attacco da un collega. Soprattutto nel campo dei nuovi tipi di attacco, le deviazioni dal comportamento di base della rete possono essere l’ultima linea di difesa contro un attacco riuscito.
Tuttavia, per valutare i comportamenti sospetti della rete e dei dispositivi, l’organizzazione deve avere una conoscenza approfondita delle risorse presenti al suo interno. In questo modo otterrai una maggiore conoscenza del livello di protezione di cui la tua organizzazione potrebbe avere bisogno. Stabilisce, inoltre, una base di interazione prevista tra tutti gli endpoint. La raccolta e l’analisi dei registri è la componente successiva dell’analisi comportamentale. Fornisce avvisi in tempo reale di comportamenti anomali, rafforzando la capacità di reagire in modo efficace.
Come prevenire gli attacchi zero-day
Le vulnerabilità zero-day e gli attacchi associati continueranno nel prossimo futuro. Le organizzazioni devono creare e gestire da vicino strumenti, tecniche e procedure (TTP) per ridurre il rischio.
Ridurre al minimo la superficie di attacco
La superficie di attacco della tua organizzazione è costituita da ogni riga di codice e da ogni dipendente che contribuisce alla sua produttività. Quando un’organizzazione diventa più complessa, la superficie di attacco corrispondente può lentamente ma inesorabilmente gonfiarsi fino a raggiungere dimensioni ingestibili.
Gli errori tecnici di criteri o regole troppo permissive si accumulano lentamente fino a quando colui che vuole attacare è in grado di approfittarne. Per ridurre al minimo le superfici di attacco è necessario disattivare tutti i punti di ingresso per i quali non è richiesta l’autenticazione. Ciascuna delle seguenti fasi contribuisce a ridurre la superficie di attacco, alleggerendo ulteriormente l’onere della prevenzione pro-attiva degli zero-day.
Patch responsabile
Le vecchie versioni del software sono vecchie per un motivo: gli sviluppatori lavorano costantemente per migliorare e semplificare i processi dietro le quinte. Gli utenti finali cadono spesso nella trappola della procrastinazione delle patch. La mancanza di cambiamenti visibili tra la maggior parte degli aggiornamenti li culla regolarmente in un senso di compiacimento.
Tuttavia, per le organizzazioni che mirano a prevenire lo sfruttamento degli zero-day, una posizione di aggiornamento pro-attiva è fondamentale. Sebbene la tentazione sia quella di considerare le patch come rischiose, una coperta protettiva di soluzioni che identificano e mitigano i tentativi di attacco può offrire la migliore protezione possibile.
Si presume che qualsiasi software non aggiornato di recente sia vulnerabile. Per proteggere i dipendenti dalla procrastinazione delle patch, affidati il più possibile agli aggiornamenti automatici. Per ulteriori informazioni sul patch management, consulta le nostre domande frequenti.
Ottieni ulteriori informazioni con la gestione della configurazione
Lagestione della configurazione è un processo che tiene accuratamente traccia delle modifiche apportate a sistemi software complessi. La visibilità è l’obiettivo finale della gestione delle configurazioni, in quanto fornisce una visione granulare anche degli ambienti di micro servizi in rapida evoluzione.
La prima fase della gestione della configurazione si concentra sull’aggregazione e la compilazione dei dati provenienti da diversi ambienti applicativi. In questo modo si crea un inventario completo di ogni componente e servizio in uso.
Con questo inventario, diventa possibile proteggere le modifiche alla rete e ai dispositivi con firme obbligatorie. Questo non solo rivela l’impatto sulla sicurezza di ogni modifica, ma aiuta a rimediare agli attacchi zero-day in tempo reale.
Usa i firewall a tuo vantaggio
Ifirewall svolgono un ruolo fondamentale per la sicurezza, limitando il traffico di rete non essenziale. Questo impedisce ai dispositivi interni di stabilire connessioni atipiche con i server esterni.
La protezione offerta dai firewall si estende ai dispositivi IoT e agli aggiornamenti delle applicazioni, contribuendo ulteriormente a consolidare le difese zero-day. Un componente fondamentale dei firewall è la possibilità di inserire le applicazioni in una whitelist. Questo blocca l’installazione di applicazioni non autorizzate sui dispositivi dei dipendenti, contribuendo a limitare la superficie di attacco e a prevenire la comparsa di nuove minacce.
Segmentare le reti, non i team
Da tempo esistono silos tra i team di cybersecurity e IT. Queste barriere rendono più difficile per i team condividere informazioni preziose per rimediare ai problemi di sicurezza prima che gli aggressori abbiano la possibilità di scatenare il caos. La promozione di una comunicazione fluida consente a un’organizzazione di implementare rapidamente le precedenti misure di contrasto agli zero-day.
Alle reti, tuttavia, non dovrebbe essere concessa la stessa connettività. Nel contesto di un struttura zero-trust i controlli rigorosi contribuiscono a garantire che l’accesso sia concesso in base alla necessità di sapere. Questo si ottiene con unasegmentazione della rete o micro-segmentazione. In questo modo si creano sotto-reti finemente dettagliate e sicure all’interno di un ambiente più ampio. In questi micro-segmenti, gli utenti o i dispositivi possono connettersi e accedere a risorse e servizi personalizzati in base alle loro esigenze specifiche, garantendo un approccio di accesso altamente granulare e sicuro. Gli spostamenti laterali sono resi difficoltosi dall’architettura stessa dell’organizzazione.
Non affidarti a una singola contromisura
Le vulnerabilità zero-day hanno il potenziale di annidarsi in tutte le organizzazioni, rendendo gli attacchi zero-day una preoccupazione per tutti. Data questa imprevedibilità,non puoi affidarti esclusivamente a un singolo strumento. Ecco perché NinjaOne offre un’ampia gamma di integrazioni. Il monitoraggio continuo e il patch management preventivo, lo rendono uno strumento potente nel tuo arsenale di sicurezza. E ogni organizzazione deve trarre il massimo vantaggio da una linea di difesa adattiva e coesa.
Puoi guardare la versione video se vuoi una presentazione visiva su come affrontare e mitigare le vulnerabilità zero-day.
