Gli exploit zero day prendono di mira le vulnerabilità a cui un produttore di software non ha ancora applicato le patch. Sfruttando vulnerabilità in gran parte sconosciute, questi exploit hanno un’alta probabilità di successo e sono difficili o impossibili da proteggere utilizzando strumenti di sicurezza informatica legacy.
Le vulnerabilità nel software possono essere scoperte in diversi modi. In alcuni casi, la vulnerabilità viene scoperta internamente dal produttore del software o segnalata eticamente da un ricercatore di sicurezza esterno. In altri, la vulnerabilità viene scoperta e sfruttata dai criminali informatici.
La maggior parte degli exploit zero-day rientra in questa seconda categoria. In questo caso c’è un intervallo di tempo tra il primo sfruttamento pubblico della vulnerabilità e il rilascio delle difese mirate, sotto forma di firme malware o aggiornamenti software. Questo viene definito “giorno zero” ed è da qui che le vulnerabilità e gli exploit zero day prendono il nome.
Un esempio di alcune vulnerabilità zero day è un insieme di vulnerabilità nei server Microsoft Exchange. Sebbene Microsoft abbia inizialmente scoperto queste vulnerabilità, i cicli lenti delle patch hanno fatto sì che molti server Exchange fossero ancora vulnerabili quando i criminali informatici hanno iniziato a sfruttare queste vulnerabilità.
Hafnium è un esempio di malware che sfrutta queste vulnerabilità di Exchange. Sfrutta queste vulnerabilità per ottenere l'accesso a un server Exchange vulnerabile ed elevare i propri privilegi sul sistema. Questo malware è progettato per eseguire la raccolta di informazioni, cercando di rubare le credenziali dell'utente e le e-mail dai sistemi sfruttati.
Le vulnerabilità e gli exploit zero-day rappresentano una preoccupazione significativa per il personale della sicurezza informatica perché è difficile difendersi. Alcune delle sfide per la sicurezza degli exploit zero-day includono:
Per questi motivi, un approccio reattivo alla sicurezza informatica basato su firme e patch non è efficace per le vulnerabilità e gli exploit zero-day. Le organizzazioni devono prevenire in modo proattivo gli attacchi per bloccare questi nuovi exploit.
Per gli exploit zero-day, il problema principale che le organizzazioni devono affrontare è la mancanza di informazioni. Se un team di sicurezza dispone di informazioni su una particolare minaccia, è possibile configurare soluzioni di sicurezza per bloccare tale minaccia. Tuttavia, ottenere l'accesso a queste informazioni e diffonderle attraverso l'architettura di sicurezza di un'organizzazione è una sfida importante per molte organizzazioni.
Una protezione zero-day efficace richiede un'architettura di sicurezza con le seguenti funzionalità:
L'approccio preventivo di Check Point è l'unico modo per proteggersi efficacemente dalle minacce sconosciute come gli exploit zero day. ThreatCloud IA è il più grande database di intelligence sulle minacce informatiche al mondo ed elabora una media di 86 miliardi di transazioni al giorno. Ciò consente di identificare circa 7.000 minacce precedentemente sconosciute ogni giorno, consentendo alle organizzazioni di rilevare e bloccare questi exploit zero-day contro i loro sistemi.
ThreatCloud IA sfrutta l'intelligenza artificiale (IA) per elaborare i dati e rilevare le minacce. Per saperne di più sull'importanza dell'IA per il rilevamento degli exploit zero day, consulta questo white paper. Puoi anche registrarti per una demo per vedere come le soluzioni Advanced Endpoint Protection di Check Point possono proteggere la forza lavoro remota della tua organizzazione dalle minacce zero-day.