Qualcuno può spiegarmi cos'è un attacco zero day con un esempio molto semplice? Inoltre, come può essere prevenuto?
Il termine Zero Day o Zero Hour può essere applicato a qualsiasi tipo di attacco. In realtà è solo una classificazione data al periodo di tempo in cui una vulnerabilità è stata appena scoperta da una persona o organizzazione ma ha non ancora stato divulgato pubblicamente.
Alcune definizioni includono anche il primo giorno o "Giorno zero" di un annuncio di vulnerabilità e la corsa tra attaccanti e difensori per attaccare o difendere i loro sistemi quando viene fatto questo tipo di annuncio.
Gli attacchi Zero Day sono particolarmente pericolosi perché per il breve periodo di tempo in cui non sono stati divulgati gli attaccanti possono effettivamente compromettere un certo livello di accesso al sistema in quasi tutti i sistemi vulnerabili. In alcuni casi, questo può dare a un utente malintenzionato l'accesso a milioni di dispositivi o l'accesso a molti dati sensibili.
Una volta che è stato divulgato pubblicamente o se esiste una riparazione nota, non è più considerato un Zero Day. Nota: alcune definizioni variano qui.
Quindi non esiste una "soluzione" per prevenire attacchi Zero-day dal momento che nuove vulnerabilità e exploit saranno sempre scoperti prima che possano essere create le soluzioni per impedire che tali problemi vengano sfruttati.
In effetti i buchi esisteranno sempre prima delle rispettive patch .
Questo ha detto che ci sono ulteriori difese che possono essere implementate per ridurre il rischio da certi tipi di attacchi Zero-Day o limitare il loro danno ma non è possibile anticipare tutti i vettori di attacco.
Questo è davvero il motivo per cui vuoi avere più strumenti di sicurezza perché in qualsiasi momento uno strato di difesa (uno dei tuoi strumenti di sicurezza può fallire o essere vulnerabile).
In altre parole, se si pensa alla sicurezza in funzione del tempo, a un certo punto esiste una vulnerabilità anche sulle reti più sicure.
Se hai solo un livello di difesa che protegge i tuoi dati, la tua sicurezza sarà simile alla seguente:
Time: ----->
Layer 1 Security: -------------------- ----------------
Zero Day occurs here ^ ^ vulnerability fixed here.
Se in teoria ci sono più livelli di difesa (o difesa in profondità) quando le vulnerabilità emergono nel tempo, le tue difese appariranno più come le seguenti:
Layer 1 Security: -------------------- ----------------
Layer 2 Security: -------------- ----------------------
Layer 3 Security: --- --------------------- ---------
Anche se ogni livello di sicurezza diventa vulnerabile di volta in volta, non tutti si allineano affinché un utente malintenzionato possa superare tutti e tre i livelli. In rari casi, ciò può accadere, ma statisticamente più livelli possono fornire una sicurezza molto migliore di un livello da solo.
Una delle migliori difese contro Zero-Days è uno staff molto disciplinato che tiene aggiornati più livelli di sicurezza. La disciplina è la chiave qui, gli strati ti comprano solo più tempo.
Zero days è il periodo di tempo in cui è stata rilevata la vulnerabilità. Significa quindi che la vulnerabilità è sconosciuta alle persone che vorranno scrivere o correggere il software. Il motivo per cui sono così preziosi sul mercato nero è perché nessuno sta attualmente lavorando per risolverlo!
Mantenere aggiornato il software è una buona difesa per le vulnerabilità note ma non ti protegge dagli attacchi zero-day. La soluzione è la difesa in profondità e la riduzione della superficie di attacco (disattivare tutti i servizi che non si sta utilizzando).
La definizione più semplice per gli attacchi zero-day è l'attacco a vulnerabilità che non sono state patinate o rese pubbliche. Oppure puoi anche definirli come attacchi che sfruttano una vulnerabilità di sicurezza lo stesso giorno in cui la vulnerabilità diventa pubblicamente nota (zero-day).
Leggi altre domande sui tag attacks attack-prevention zero-day