O que é uma falha zero day?

O que é uma falha zero day? Saiba o que significa uma falha zero-day, como essas brechas são exploradas e como se proteger.

Zero-day ou 0day é uma expressão recorrente quando o assunto é vulnerabilidade grave em softwares e sistemas operacionais. O termo costuma ser aplicado em duas situações: quando brechas graves de segurança são encontradas e quando ataques de hackers explorando essas brechas são identificados. Entenda melhor o significado do termo e veja como se manter protegido de falhas desse tipo.

 

O que significa zero-day?

Falhas do tipo zero-day referem-se brechas de segurança que atingem softwares. Trata-se de uma vulnerabilidade de segurança desconhecida do público e do próprio desenvolvedor de um programa. Isso significa que, a partir do momento em que a falha é detectada, o fabricante do software tem efetivamente “zero dias” para produzir uma atualização que corrija o problema, impedindo a exploração por criminosos antes disso.

A expressão também significa a quantidade de tempo que o desenvolvedor conhece o problema. Ou seja, zero dias. Outro exemplo é o termo 30-day, referente à falhas já conhecidas pelo provedor do software por 30 dias e que não foram corrigidas e chegam a público.

Portanto, em geral, pode-se aplicar o termo zero-day de duas formas:

  • Para classificar uma brecha de segurança grave, mas ainda inexplorada;
  • Para classificar uma vulnerabilidade grave, até então desconhecida, e para qual já há ataques e malwares direcionados.

A ideia de zero-day define a gravidade da brecha e a urgência de que uma correção (patch) seja produzida e liberada para os usuários.

A maioria das falhas de segurança são descobertas por outros desenvolvedores ou hackers whitehat em programas de Bug Hunting, por exemplo. Você já deve ter ouvido falar do Project Zero, certo?
Se não, vai ouvir agora. O Project Zero é uma iniciativa do Google para descobrir falhas de segurança em softwares de outras empresas antes que elas se tornem públicas.
Isso porque, com tempo suficiente para consertar as vulnerabilidades, os desenvolvedores podem lançar um patch de correção para que os usuários atualizem seus sistemas e fiquem seguros.

 

Como as falhas zero-day são exploradas?

A maneira pela qual hackers exploram essas vulnerabilidades está diretamente relacionada com a forma pela qual eles as descobrem. É possível, por exemplo, que uma falha desse tipo seja descoberta por um cibercriminoso e usada para espalhar vírus — que podem circular pela Internet por meses e, até mesmo anos, sem serem detectados.

Outra situação ocorre quando uma falha de tipo zero-day é descoberta por usuários, ou especialistas de segurança, que avisam os desenvolvedores sobre o problema. Nessas situações, a brecha acaba divulgada ao público apenas depois que correções de segurança estão disponíveis. Mesmo assim, como nem todas as pessoas atualizam o software, criminosos ainda podem tirar proveito. A partir do momento que uma falha de segurança é conhecida, ela deixa de ser zero-day.

 

Como se proteger de falhas zero-day?

Não há uma resposta precisa para essa pergunta quando considerado o contexto desse tipo de falha. Com isso em mente, as medidas mais eficazes são: contar com ferramentas de proteção atualizadas e de boa qualidade (antivírus) e manter todos os softwares sempre atualizados.

Embora antivírus não sejam muito eficientes contra falhas zero-day — já que sem saber da existência dessas brechas não há como identificar os ataques — há a possibilidade de que essas aplicações identifiquem malwares que, ao explorar uma falha zero-day, acabam apresentando comportamento suspeito. Sendo assim, escolher um bom antivírus também é recomendável para captar situações indesejadas no PC.

 

NEXT GENERATION ANTI-VÍRUS

Como permanecem sob exploração até que sejam descobertos, as ferramentas tradicionais de segurança do endpoint baseadas em blacklists não são capazes de identificar e bloquear as ameaças que podem se aproveitar dessas falhas de segurança.

Por isso, uma série de fabricantes de segurança estão se destacando no mercado ao oferecer alternativas capazes de cobrir essa lacuna com produtos de próxima geração.

Os next-generation antivírus, são ferramentas capazes de identificar comportamentos anômalos em processos de sistemas e bloqueá-los, impedindo, assim, que ameaças como ransomware e outras de comportamento maliciosos se proliferem e que vulnerabilidades zero-day sejam usadas por hackers para atingir seus objetivos.

Esse tipo de tecnologia baseada em Inteligência Artificial e Machine Learning se tornam essenciais diante do contexto em que são produzidos mais de 1 milhão de novas instâncias de malware por dia. Imagina, assinatura pra isso tudo.

 

Sophos Intercept

Proteção de ponta a ponta dos endpoints

Para deter a ampla variedade de ameaças, o Sophos Intercept X emprega uma abordagem aprofundada de defesa para proteger endpoints, em lugar de simplesmente contar apenas com uma técnica de segurança de base. Esse é “o poder do incremento” – uma combinação de técnicas de base (tradicionais) líderes com técnicas modernas (next-gen). O Intercept X integra a melhor detecção de malware e proteção contra exploração de vulnerabilidades incorporadas no sistema de detecção e resposta EDR.

Sophos XG Firewall de Próxima Geração

A combinação do endpoint protection Sophos Intercept X com o o firewall de última geração Sophos XG oferece uma comibinação perfeita para proteção da sua rede contra ameaças do tipo Zero-Day.

Com nível superior de visibilidade de atividades de risco, tráfego suspeito e ameaças avançadas, o Sophos XG ajuda a reaver o controle da sua rede. E sua poderosas tecnologias Next-Gen, como Deep Learning e prevenção contra invasões, vão manter a sua organização segura, bloqueando ameaças desconhecidas.

O Sophos XG Isola sistemas infectados através de uma resposta automática a ameaças que identifica instantaneamente os sistemas comprometidos e os isola na rede, evitando que a contaminação se alastre.

Parando ameaças de dia zero

  1. Use seu firewall com sabedoria
    1. Seu firewall é crucial para proteger seu sistema contra ameaças de dia zero. Você pode garantir a proteção máxima configurando-o para permitir apenas as transações necessárias.
  2. Combine a proteção do firewall com a proteção de endpoint
    1. O firewall é a primeira linha de defesa do ambiente de rede, quando combinado com a proteção de endpoint do Sophos Intecept X transforma-se em uma barreira praticamente intransponível de proteção do equipamento. Mesmo quando desconectado da rede o seu equipamento estará seguro de ameaças.
  3. Use apenas aplicativos essenciais
    1. Quanto mais software você tem, mais vulnerabilidades você tem. Você pode reduzir o risco para sua rede usando um mínimo de aplicativos e evitando que seus usuários instalem aplicativos desconhecidos em seus equipamentos.
  4. Mantenha-se atualizado com os patches
    1. Patches corrigem as vulnerabilidades em seu software e sistemas operacionais, fortalecendo sua resistência a malware.
  5. Escolha um bom Host Intrusion Protection System (HIPS)
    1. Sua proteção antivírus conterá alguma forma de HIPS, mas nem todas as proteções são iguais . Muitos HIPS apenas identificam ameaças quando já estão em execução, durante o tempo em que o dano pode ser causado. O Sophos se antecipa a este cenário e oferece uma proteção avançada para seu ambiente.

download Baixe nossa ferramenta gratuita de remoção de vírus
Descubra o que seu antivírus perdeu

 

Fonte: TechTudo & Proof & Sophos

Veja também:

About mindsecblog 1159 Articles
Blog patrocinado por MindSec Segurança e Tecnologia da Informação Ltda.

2 Trackbacks / Pingbacks

  1. ANPD inicia processo de regulamentação sobre incidentes de segurança
  2. 5 principais ferramentas de segurança de código aberto para 2021

Deixe sua opinião!