O que é uma exploração de dia-zero?

Uma exploração de dia zero é um ataque que tira proveito de uma vulnerabilidade de segurança praticamente desconhecida.

Objetivos de aprendizado

Após ler este artigo, você será capaz de:

  • Definir "vulnerabilidade" e descrever vulnerabilidades zero-day
  • Explicar o que é uma exploração de dia zero
  • Descrever as principais formas de evitar ataques de dia zero

Conteúdo relacionado


Quer saber mais?

Assine o theNET, uma recapitulação mensal feita pela Cloudflare dos insights mais populares da internet.

Consulte a política de privacidade da Cloudflare para saber como coletamos e processamos seus dados pessoais.

Copiar o link do artigo

O que é uma exploração de dia-zero?

Uma exploração de dia zero (também chamada de ameaça de dia zero) é um ataque que tira proveito de uma vulnerabilidade de segurança que não possui uma correção. É referido como uma ameaça de "dia zero" porque uma vez que a falha é descoberta, o desenvolvedor ou a organização tem "zero dia" para encontrar uma solução.

O que é uma vulnerabilidade?

Uma vulnerabilidade é uma falha involuntária de software ou hardware decorrente de um erro de programação ou de uma configuração inadequada. Como as vulnerabilidades não são intencionais, são difíceis de detectar e podem passar despercebidas por dias, meses ou às vezes até anos.

Como funcionam as explorações de dia zero?

Quando os invasores identificam uma vulnerabilidade anteriormente desconhecida, eles escrevem um código para direcionar essa vulnerabilidade específica e envolvê-la em um malware. O código, quando executado, pode comprometer um sistema.

Existem várias maneiras de um invasor explorar vulnerabilidades zero-day. Uma tática comum é distribuir malware por meio de e-mails de phishing que contenham anexos ou links que tenham as explorações incorporadas a eles. Essas cargas maliciosas são executadas quando um usuário interage com o anexo ou link.

Um famoso ataque de dia zero envolveu a Sony Pictures Entertainment em 2014, quando informações confidenciais, como cópias de filmes inéditos, comunicações por e-mail entre os principais funcionários e planos de negócios, foram divulgadas ao público. Os invasores usaram uma exploração de dia zero para obter essas informações.

As explorações de dia zero podem afetar negativamente um negócio de várias maneiras. Além de perder dados valiosos ou confidenciais, os clientes podem perder a confiança na empresa e a empresa pode ter que desviar valiosos recursos de engenharia para corrigir a falha.

Como detectar ameaças de dia zero

Por definição, as ameaças de dia zero são difíceis de detectar. Várias estratégias foram desenvolvidas para ajudar a tornar a detecção mais fácil:

  • Detecção baseada em estatísticas: quando o aprendizado de máquina é usado, os dados históricos são coletados de explorações anteriores e um nível padrão de comportamento seguro é definido para detectar ameaças zero-day em tempo real. No entanto, essa abordagem não se adapta às mudanças nos padrões e novos perfis de ataque precisam ser criados para levar em conta as mudanças.
  • Detecção baseada em assinatura: esse método tem sido usado desde os primeiros dias do monitoramento de segurança. Os bancos de dados existentes de assinaturas de malware — valores únicos que indicam a presença de um código malicioso — são cruzados com arquivos e downloads locais durante a verificação de novas ameaças em potencial. Uma desvantagem desse método é que as assinaturas só podem identificar ameaças que já são conhecidas, portanto, esse método não pode detectar a maioria das ameaças de dia zero.
  • Detecção baseada em comportamento: as interações do usuário com o software existente são analisadas para verificar se são o resultado de atividade maliciosa. A detecção baseada em comportamento se propõe a aprender o comportamento futuro e tenta bloquear qualquer comportamento que não seja esperado. Ela se baseia na previsão do fluxo de tráfego de rede.

Como evitar ataques de dia zero

Embora nenhuma abordagem possa evitar completamente que as vulnerabilidades apareçam no código, várias táticas e ferramentas podem minimizar seus riscos. Duas das tecnologias mais importantes para interromper explorações de vulnerabilidades são isolamento do navegador e firewalls.

Isolamento do navegador

Atividades de navegação, como abrir um anexo de e-mail ou preencher um formulário, requerem interação com código de fontes não confiáveis, permitindo que invasores explorem vulnerabilidades. O isolamento do navegador mantém a atividade de navegação separada dos dispositivos do usuário final e das redes corporativas, para que códigos possivelmente maliciosos não sejam executados no dispositivo do usuário. O isolamento do navegador pode ser feito de três maneiras:

  • Isolamento remoto do navegador: as páginas web são carregadas e o código é executado em um servidor em nuvem, longe dos dispositivos dos usuários e das redes internas das organizações.
  • Isolamento do navegador no local: funciona de maneira semelhante ao isolamento do navegador remoto, mas ocorre em um servidor gerenciado internamente.
  • Isolamento do navegador do lado do cliente: as páginas web ainda são carregadas no dispositivo de um usuário, mas o sandbox (um mecanismo de segurança para manter os programas em execução separadamente) garante que o conteúdo e o código fiquem separados do restante do dispositivo.

Firewall

Um firewall é um sistema de segurança que monitora o tráfego de entrada e saída com base em políticas de segurança predefinidas. Os firewalls ficam entre redes confiáveis e não confiáveis (na maioria das vezes a internet) para proteger contra ameaças, bloquear o acesso de conteúdo malicioso a uma rede confiável e evitar que informações confidenciais saiam da rede. Eles podem ser incorporados em hardware, software ou uma combinação de ambos. Ao monitorar o tráfego, um firewall pode bloquear o tráfego que pode ter como alvo uma vulnerabilidade de segurança, levando a uma exploração de dia zero.

Como a Cloudflare protege contra vulnerabilidades zero-day?

Isolamento do navegador remoto: a solução de isolamento do navegador remoto da Cloudflare realiza a atividade de navegação de um usuário em um ambiente de nuvem supervisionado por meio de sandbox. Como a atividade de navegação é isolada dos dispositivos finais dos usuários, esses dispositivos são protegidos contra vulnerabilidades, como ameaças de dia zero.

(Firewall de aplicativos web (WAF): o Cloudflare WAF usa inteligência contra ameaças e aprendizado de máquina para bloquear automaticamente ameaças emergentes em tempo real. A inteligência contra ameaças se baseia na rede global da Cloudflare , que processa 81 milhões de solicitações HTTP por segundo no pico. O resultado é uma proteção incomparável contra explorações zero-day e outros ataques.