Quão perigosas são realmente as vulnerabilidades de dia zero?

vulnerabilidades

No mundo da Internet, uma proporção bastante grande de medidas de segurança do consumidor visa a zero dia de vulnerabilidades. Zero dias são caracterizados por vulnerabilidades anteriormente desconhecidas, sem um patch disponível a eles do fornecedor. No entanto, as equipes de segurança precisam se perguntar se o foco nos ataques do Zero Day é realmente o melhor uso dos recursos de negócios.

Muito ruim por nada

Apesar da turbulência das vulnerabilidades do dia zero, as violações mais devastadoras não se devem a isso. Violações significativas, como os ataques Equifax e WannaCry, foram causadas por vulnerabilidades conhecidas pelas equipes de segurança no momento do ataque.

Por exemplo, a violação do Equifax começou com os invasores simplesmente examinando a Web em busca de servidores vulneráveis ​​à vulnerabilidade do Apache Struts (CVE-2017-5638). Eles descobriram que há uma vulnerabilidade nos servidores de portal de disputas da Equifax. Usando solicitações desses servidores, os atacantes obtiveram acesso a outros 48 bancos de dados. O Apache lançou um código de atualização para esta vulnerabilidade em 8 de março de 2017, enquanto estava em 13 de maio de 2017 quando os hackers executaram seu plano. Portanto, se a Equifax tivesse coberto a vulnerabilidade a qualquer momento antes de 13 de maio de 2017, essa violação não teria ocorrido.

Uma história semelhante aconteceu com o WannaCry. Dois meses antes do ataque, em 14 de março de 2017, a Microsoft lançou o boletim MS17-010 para o EternalBlue, juntamente com os patches para todas as versões suportadas do Windows. No entanto, quando o ataque ocorreu em maio de 2017, muitos sistemas Windows ficaram sem patch ou estavam sendo executados em sistemas operacionais não suportados, como o Windows XP.

Nos dois casos, um simples patch de vulnerabilidade já conhecida impediria o roubo de milhões de arquivos pessoais e reduziria significativamente as perdas financeiras.

Ao se concentrar mais nas vulnerabilidades de dia zero, as empresas não estão apenas perdendo o alvo, mas também ignorando o fato de que a grande maioria dos ataques usa vulnerabilidades conhecidas. Roger Grimes, analista de segurança, observa que a maioria dos clientes da Microsoft foi invadida por vulnerabilidades criadas para patches anos atrás.

Em abril de 2019, a Zero Day Initiative relatou 89 vulnerabilidades Zero Day para 2019. Comparadas às 2634 vulnerabilidades conhecidas de 2019 até o momento, as vulnerabilidades Zero Day representam apenas 3% de todas as vulnerabilidades por ano . O gerenciamento de patches é a solução testada e comprovada para proteger os sistemas contra ataques e violações.

Um defeito que não foi descoberto não representa uma ameaça maior que os defeitos conhecidos. Como a violação da Equifax mostra, os hackers estão interessados ​​em encontrar organismos que não repararam vulnerabilidades conhecidas. Os hackers precisam fazer o melhor uso possível de seu tempo e recursos, e tentar tirar proveito das vulnerabilidades conhecidas costuma ser a melhor coisa a fazer do que procurar novas vulnerabilidades.

O gerenciamento adequado de uma vulnerabilidade eliminará a maior parte do risco que uma empresa enfrentará em termos de ataques cibernéticos. O foco nas vulnerabilidades conhecidas terá um impacto muito maior na proteção dos negócios. No entanto, reconhecer a ameaça representada por vulnerabilidades conhecidas é apenas um aspecto da adoção de um programa de gerenciamento de vulnerabilidades apropriado. O próximo passo é priorizar e restaurá-los.