Cos'è un exploit zero-day?

Un exploit zero-day è un attacco che sfrutta una vulnerabilità di sicurezza in gran parte sconosciuta.

Obiettivi di apprendimento

Dopo aver letto questo articolo sarai in grado di:

  • Definire il termine "vulnerabilità" e descrivere le vulnerabilità zero-day
  • Spiegare cos'è un exploit zero-day
  • Descrivere le principali modalità di prevenzione degli attacchi zero-day

Argomenti correlati


Vuoi saperne di più?

Abbonati a theNET, il riepilogo mensile di Cloudflare sulle tematiche più discusse in Internet.

Fai riferimento all'Informativa sulla privacy di Cloudflare per scoprire come raccogliamo ed elaboriamo i tuoi dati personali.

Copia link dell'articolo

Cos'è un exploit zero-day?

Un exploit zero-day, chiamato anche minaccia o attacco zero-day, sfrutta una vulnerabilità alla sicurezza che non dispone di una correzione. Viene definita "zero-day" perché, una volta scoperta la falla, lo sviluppatore o l'organizzazione hanno "zero giorni" per trovare una soluzione.

Cos'è una vulnerabilità?

Una vulnerabilità è un difetto software o hardware non intenzionale, derivante da un errore di programmazione o da una configurazione errata. Poiché le vulnerabilità non sono intenzionali, sono difficili da rilevare e possono rimanere inosservate per giorni, mesi o persino anni.

Come funzionano gli exploit zero-day?

Quando gli aggressori identificano una vulnerabilità precedentemente sconosciuta, scrivono del codice volto a sfruttarla e lo integrano in un malware. Questo codice, quando viene eseguito, può arrivare a compromettere un sistema.

Esistono diversi modi in cui un aggressore può sfruttare le vulnerabilità zero-day. Una tattica comune è distribuire malware tramite e-mail di phishing che contengono allegati o collegamenti che incorporano gli exploit. Questi payload dannosi vengono eseguiti quando un utente interagisce con l'allegato o con il collegamento.

Un attacco zero-day celebre prese di mira la Sony Pictures Entertainment nel 2014. A seguito dell'attacco, vennero divulgate al pubblico informazioni estremamente riservate, come copie di film che dovevano ancora uscire in sala, comunicazioni e-mail tra dipendenti di alto livello e business plan. Per ottenere queste informazioni, gli aggressori impiegarono un exploit zero-day.

Sono diversi i modi con cui gli exploit zero-day possono causare danni a un'azienda. Oltre alla fuoriuscita di dati preziosi o riservati, il contraccolpo a livello reputazionale tra la clientela può essere molto serio, per non parlare delle risorse che l'azienda dovrà profondere per "tappare" la falla.

Come individuare le minacce zero-day

Per definizione, le minacce zero-day sono difficili da individuare, e per facilitarne il rilevamento sono state approntate svariate strategie:

  • Rilevamento basato su statistiche: tramite l'apprendimento automatico, vengono raccolti i dati storici di exploit precedenti e viene impostato un livello standard di comportamento sicuro volto a rilevare minacce zero-day in tempo reale. Tuttavia, questo approccio non si adatta ai cambiamenti negli schemi di comportamento, ed è necessario sviluppare nuovi profili di attacco per tenere conto di tali cambiamenti.
  • Rilevamento basato su firma: questo metodo è stato utilizzato sin dagli albori del monitoraggio della sicurezza. I database esistenti di firme di malware, ovvero valori univoci che rivelano la loro presenza, vengono confrontati con file e download locali durante la scansione di nuove minacce potenziali. Uno svantaggio di questo metodo è che le firme possono identificare solo le minacce già note, pertanto questo metodo non è in grado di rilevare la maggior parte delle minacce zero-day.
  • Rilevamento basato sul comportamento: le interazioni degli utenti con il software esistente vengono analizzate per verificare se siano il risultato di attività dannose. Questo tipo di rilevamento mira ad apprendere i comportamenti futuri, e cerca di bloccare qualsiasi comportamento imprevisto, e basa sul prevedere il flusso del traffico di rete.

Come prevenire gli attacchi zero-day

Sebbene nessun singolo approccio possa impedire completamente la comparsa di vulnerabilità nel codice, è possibile adottare tattiche e tool capaci di ridurre al minimo il rischio. Due delle tecnologie più importanti per bloccare gli exploit di vulnerabilità sono l'isolamento del browser e i firewall.

Isolamento del browser

Attività di navigazione quali l'apertura di allegati e-mail o la compilazione di moduli richiedono l'interazione con del codice proveniente da fonti non attendibili, e questo consente a potenziali aggressori di sfruttare le vulnerabilità. L'isolamento del browser consente di mantenere l'attività di navigazione separata dai dispositivi degli utenti e dalle reti aziendali, impedendo così al codice di girare direttamente sui dispositivi degli utenti. Questa tecnica può essere implementata in tre modi:

  • Isolamento del browser da remoto: le pagine web vengono caricate e il codice viene eseguito su un server cloud, lontano dai dispositivi degli utenti e dalle reti interne delle organizzazioni.
  • Isolamento del browser in locale: funziona in modo simile all'isolamento da remoto, ma occorre su un server gestito internamente.
  • Isolamento del browser lato client: le pagine web vengono ancora caricate sul dispositivo di un utente, ma il sandboxing (un meccanismo di sicurezza per mantenere i programmi in esecuzione separatamente l'uno dall'altro) assicura che contenuto e codice siano separati dal resto del dispositivo.

Firewall

Un firewall è un sistema di sicurezza che monitora il traffico in entrata e in uscita in base a policy di sicurezza predeterminate. I firewall si interpongono tra reti fidate e reti non fidate (spesso, l'Internet) per fornire protezione dalle minacce, impedire a contenuti dannosi di raggiungere una rete fidata, e prevenire la fuoriuscita di informazioni sensibili dalla rete. Un firewall può essere integrato nell'hardware, nel software o in una combinazione di entrambi. Mediante la propria attività di monitoraggio, un firewall può bloccare del traffico che potrebbe prendere di mira una vulnerabilità di sicurezza, causando un exploit zero-day.

In che modo Cloudflare protegge dalle vulnerabilità zero-day?

Isolamento del browser da remoto: la soluzione di isolamento del browser da remoto di Cloudflare esegue l'attività di navigazione di un utente in un ambiente cloud supervisionato mediante sandboxing. Poiché l'attività di navigazione è isolata dai dispositivi degli utenti finali, tali dispositivi sono protetti da vulnerabilità quali le minacce zero-day.

Web application firewall (WAF): Cloudflare WAF utilizza l'intelligence delle minacce e l'apprendimento automatico per bloccare automaticamente e in tempo reale le minacce emergenti. L'intelligence delle minacce sfrutta la rete globale di Cloudflare, che elabora 145 milioni di richieste HTTP al secondo nei momenti di picco. Il risultato è una protezione ineguagliabile contro gli exploit zero-day e altri tipi di attacchi.