¿Que es Exploit Zero day, vulnerabilidad del día cero en computación o informática? Un exploit de día cero es un ataque cibernético que ocurre el mismo día en que se descubre una debilidad en el software. En ese momento, se explota antes de que una solución esté disponible desde su creador.
Inicialmente, cuando un usuario descubre que existe un riesgo de seguridad en un programa, puede reportarlo a la compañía de software, que luego desarrollará un parche de seguridad para corregir la falla. Este mismo usuario también puede usar Internet y advertir a otros sobre la falla. Por lo general, los creadores de programas son rápidos para crear una solución que mejora la protección del programa, sin embargo, a veces los piratas informáticos se enteran de la falla primero y se aprovechan rápidamente. Cuando esto sucede, hay poca protección contra un ataque porque la falla del software es muy nueva.
Las organizaciones en riesgo de tales explotaciones pueden emplear varios medios de detección, incluido el uso de redes de área local virtuales (LAN) para proteger los datos transmitidos, mediante el uso de un firewall, y el uso de un sistema seguro de Wi-Fi para protegerse contra los ataques de malware inalámbrico. Además, las personas pueden minimizar el riesgo manteniendo sus sistemas operativos y software actualizados o utilizando sitios web con SSL (Security Socket Layer), que asegura la información que se envía entre el usuario y el sitio.
Detección de exploits de día cero
Las hazañas de día cero tienden a ser muy difíciles de detectar. El software antimalware y algunos sistemas de detección de intrusos (IDSes) y los sistemas de prevención de intrusos (IPSes) a menudo son ineficaces porque aún no existe una firma de ataque. Esta es la razón por la que la mejor manera de detectar un ataque de día cero es mediante el análisis del comportamiento del usuario . La mayoría de las entidades autorizadas para acceder a las redes exhiben ciertos patrones de uso y comportamiento que se consideran normales. Las actividades que se encuentran fuera del alcance normal de las operaciones podrían ser un indicador de un ataque de día cero.
Por ejemplo, un servidor de aplicaciones web normalmente responde a las solicitudes de maneras específicas. Si se detectan paquetes salientes que salen del puerto asignado a esa aplicación web, y esos paquetes no coinciden con nada que normalmente generaría la aplicación, es una buena indicación de que se está produciendo un ataque.
Período de explotación de día cero
Algunos ataques de día cero se han atribuido a actores de amenazas persistentes avanzadas (APT, por sus siglas en inglés), piratería o grupos de delitos informáticos afiliados o parte de los gobiernos nacionales. Se cree que los atacantes, especialmente las APT o los grupos organizados de delitos informáticos, reservan sus explotaciones de día cero para objetivos de alto valor.
Las vulnerabilidades de N días continúan vigentes y están sujetas a explotaciones mucho después de que los proveedores hayan reparado o corregido las vulnerabilidades.
Defensa contra ataques de día cero
Las hazañas de día cero son difíciles de defender porque son tan difíciles de detectar. El software de exploración de vulnerabilidades se basa en los comprobadores de firmas de malware para comparar el código sospechoso con las firmas de malware conocido; cuando el malware utiliza un exploit de día cero que no se ha encontrado anteriormente, estos escáneres de vulnerabilidad no podrán bloquear el malware.
Dado que una vulnerabilidad de día cero no se puede conocer de antemano, no hay forma de protegerse contra una vulnerabilidad específica antes de que ocurra. Sin embargo, hay algunas cosas que las empresas pueden hacer para reducir su nivel de exposición al riesgo.
- Use redes de área local virtuales para segregar algunas áreas de la red o use segmentos de red virtuales o físicos dedicados para aislar el tráfico sensible que fluye entre los servidores.
- Implemente IPsec , el protocolo de seguridad IP, para aplicar el cifrado y la autenticación al tráfico de red.
- Implementar un IDS o IPS. Aunque es posible que los productos de seguridad IDS e IPS basados en firmas no puedan identificar el ataque, pueden alertar a los defensores sobre actividades sospechosas que se producen como efecto secundario del ataque.
- Utilice el control de acceso a la red para evitar que las máquinas malintencionadas obtengan acceso a partes cruciales del entorno empresarial.
- Bloquee los puntos de acceso inalámbrico y use un esquema de seguridad como Wi-Fi Protected Access 2 para obtener la máxima protección contra los ataques inalámbricos.
- Mantener todos los sistemas parcheados y actualizados. Aunque los parches no detendrán un ataque de día cero, mantener los recursos de red completamente parcheados puede hacer que sea más difícil que un ataque tenga éxito. Cuando un parche de día cero esté disponible, aplíquelo lo antes posible.
Realice exploraciones de vulnerabilidades con regularidad contra redes empresariales y bloquee las vulnerabilidades descubiertas.
Si bien mantener un alto estándar para la seguridad de la información puede no evitar todas las vulnerabilidades de día cero, puede ayudar a derrotar los ataques que utilizan las vulnerabilidades de día cero después de que se hayan reparado las vulnerabilidades.
Leer también: Ocultar el número de versión de Php ; Desactivar la firma del servidor, versión de Apache ; Ransomware dirigido a empresas