skip to Main Content

Cybersecurity, perché gli zero-day sono così importanti

di Pierguido Iezzi

Perché gli zero-day, le “vulnerabilità di tutte le vulnerabilità”, sono l’incubo per la cybersecurity

Sentiamo parlare spesso – nel mondo della cybersecurity – di Zero Day. La “vulnerabilità di tutte le vulnerabilità”. Ma di cosa si tratta concretamente? Una vulnerabilità zero day è una falla di sicurezza per la quale lo sviluppatore non ha ancora fornito una patch. Il nome deriva dal mondo della pirateria digitale e risale agli anni 90’: le copie di un film o di un album musicale distribuite illegalmente in corrispondenza (o anche prima) della pubblicazione ufficiale erano chiamate “zero day”. Traslato nel mondo della cybersecurity, questo termine evoca uno scenario in cui un aggressore si trova in netta posizione di vantaggio rispetto allo sviluppatore, riuscendo a sfruttare la vulnerabilità all’interno di un’offensiva caratterizzata dall’effetto sorpresa. Quando una vulnerabilità zero day inizia a circolare all’interno dell’ambiente criminale, si nota solitamente un netto aumento di volume e numero di attacchi simili, portando così l’offensiva a essere rilevata e alla creazione di una patch per porre rimedio alla falla iniziale.

Differenze fra zero day, exploit e attacco

Spesso in questo ambito viene fatto ampio uso della terminologia inglese ma è bene porre una netta distinzione fra tre categorie per comprendere appieno il fenomeno dei zero day. Una vulnerabilità di questo tipo è una falla presente in un software o in un elemento hardware, che è stata scoperta ma per la quale non è disponibile alcuna patch. In questo caso, cambieranno le circostanze a seconda di chi ha scoperto la vulnerabilità inizialmente. Nel caso dei “white hat”, gli hacker buoni della situazione, ovvero di ricercatori di sicurezza che compiono questo tipo di attività per lavoro, la vulnerabilità non si tradurrà in alcun evento dannoso per gli sviluppatori e per gli utenti del software coinvolto. Diverso è il caso in cui siano i Criminal hacker a ravvisare per primi questa falla. Sarà nel loro interesse mantenere il massimo riserbo sull’argomento, tenendo così all’oscuro chi potrebbe sviluppare una patch, lasciando la porta aperta per futuri attacchi.

Che cosa sono le vulnerabilità

D’altro canto, però, una vulnerabilità è un semplice foro all’interno della “corazza”, nulla di più. Per sfruttarlo e accedere a un sistema informatico, un aggressore deve creare uno “zero day exploit”, ovvero una tecnica o un malware che nella pratica è in grado di generare un risultato (in termini di infezione o compromissione) sulla base della vulnerabilità. Se questi exploit possono talvolta essere utilizzati dagli stessi creatori per porre in essere un’offensiva, non mancano i casi in cui gli ideatori dell’exploit decidano di non sporcarsi le mani, preferendo cedere tale elemento (talvolta di grande valore) ad altre organizzazioni criminali. Una volta armato di exploit, un attore del cybercrime può porre in essere un attacco zero day. In altri termini, una vulnerabilità rappresenta solo una potenziale via d’accesso per un attacco e l’exploit è lo strumento pratico per realizzare tale attacco. Proprio l’offensiva in sé è il momento in cui il pericolo si trasforma in danno.

Come difendersi dagli attacchi “zero day” del cybercrime

Pur trattandosi di un tema piuttosto serio, da un punto di vista teorico non è impossibile immaginare e applicare tecniche di mitigazione verso queste minacce informatiche. In tal senso è possibile creare due categorie ampie di soluzioni:

  • cosa possono fare le singole aziende e i loro dipartimenti IT per proteggere il proprio sistema informatico
  • cosa può fare l’industria tech e della cybersecurity per rendere più sicuro l’ambiente nel suo complesso.

Partiamo dal primo punto, ovvero cosa può essere fatto a livello aziendale dal lato della protezione. La speranza è che tutti i responsabili di cybersecurity alla lettura abbiano già implementato le principali pratiche di “igiene informatica” al loro contesto aziendale. Anche se le vulnerabilità zero day per definizione non dispongono di patch, è possibile attuare pratiche di sicurezza stringenti per ridurre il rischio di danni seri. Per prima cosa è necessario approcciare il termine della sicurezza con profondità. Molte violazioni sono il risultato di una catena di attacchi che sfruttano numerose vulnerabilità. Aggiornando tutti gli elementi software e hardware con le ultime patch disponibili e formando i propri dipendenti sulle best practice del settore è possibile interrompere tale ciclo d’attacco nelle sue fasi embrionali. Per fare un esempio pratico, i server del vostro data center potrebbero soffrire di una vulnerabilità “zero day” ma se un aggressore non riesce a violare un firewall aggiornato o convincere uno dei dipendenti a scaricare un trojan allegato a un’email di phishing, non sarà possibile rilasciare l’exploit che sfruttarla. In questo caso quindi, oltre alla tecnologia, deve esserci un serio impegno dal punto di vista della formazione e dell’awareness.

L’importanza di monitorare costantemente i flussi in entrata e in uscita nella rete e nel sistema informatico

Inoltre è importante monitorare costantemente i flussi in entrata e in uscita nella rete e nel sistema informatico per registrare in tempo utile eventuali intrusioni. Dato che la vulnerabilità zero day non diventa tale finché non viene rilevata, è importante bloccare eventuali accessi potenzialmente dannosi. I sistemi di EDR sono ideati specificamente per monitorare questo tipo di attività e gli antivirus più avanzati sono in grado di registrare comportamenti sospetti di malware anche nel caso in cui questi non siano registrati, ma comunque seguano comportamenti potenzialmente dannosi. Oltre a questo non va dimenticata la regolare attività di security testing tramite Vulnerability Assessment e Network scanning.

Non abbassiamo la guardia!

Back To Top