¿Qué demonios significa «día cero»?


Parece que pasé una buena parte de mi tiempo recientemente hablando con una variedad de personas sobre «cero días» y lo que realmente me ha sorprendido es que casi todos tienen una opinión diferente sobre lo que es realmente un «día cero» … Así que pensé que había llegado el momento de intentar agregar un poco de claridad a la situación.

Para aquellos de ustedes que realmente tienen poco tiempo, seamos claros: existen cero días y pueden ser muy perjudiciales, pero hay muchas otras cosas más fáciles de solucionar y con un mayor retorno de la inversión para la mayoría de las organizaciones. Por lo tanto, el paso 1 debería ser arreglar cosas como parches y educación del usuario antes de dedicar recursos limitados a la pequeña minoría de ataques verdaderamente de día cero.

Y para aquellos de ustedes con un poco más de tiempo en sus manos, examinemos por qué ese último párrafo recomienda lo que hace. Lo primero es lo primero, deberíamos hablar de vulnerabilidades y exploits porque, aunque los 2 están claramente vinculados, son, por supuesto, muy diferentes. En términos simples, una vulnerabilidad es una debilidad o error en un fragmento de código. Un exploit es un fragmento de código separado que aprovecha esa vulnerabilidad para permitir que los malos alcancen sus objetivos.

El término «día cero» es válido en ambos contextos. Por lo normal, se united states en referencia a un exploit, pero no siempre, y en mi experiencia, eso crea algo de confusión. Como nota al margen, en el rápido mundo de la seguridad de TI y el malware, la confusión entre los equipos de seguridad solo puede ser algo malo para aquellos de nosotros que trabajamos duro para evitar que los malos se beneficien. Trataré de ser claro en qué contexto lo estoy usando en este site.

Entonces, echemos un vistazo a algunas de las interpretaciones más comunes de «día cero» y examinemos cuáles son válidas:

1) «No existe ninguna firma en mi antivirus actual, por lo que no puede detectar este malware de» día cero «».

Cada día se lanzan más de 725,000 nuevos archivos de malware, pero la gran mayoría de estos son simplemente versiones compiladas de malware existente con un nuevo hash de archivo. Un nuevo hash no equivale a malware de día cero.

2) «Nunca había visto una pieza de malware que se entregara así antes»

Los ciberdelincuentes siempre están buscando una nueva forma de entregar sus cargas útiles y pueden ser bastante creativos, pero el apodo de día cero debe reservarse para el malware en sí y no para el método de distribución.

3) «Hay una vulnerabilidad en mi sistema que todavía no he solucionado».

Hay muchas razones por las cuales los parches no siempre se aplican de inmediato (¡algunos de ellos son incluso aceptables!), Pero si una pieza de malware termina explotando una vulnerabilidad conocida y no parcheada, eso no convierte retroactivamente esta pieza de malware (posiblemente bastante antigua) en una versión de día cero.

4) «Hay un nuevo tipo de malware»

Esto seguramente debe contar como un «día cero», ¿verdad? Voy a argumentar que no es así. Es possible que un nuevo tipo de malware signifique que los ciberdelincuentes tienen objetivos diferentes. Cuando el cripto-malware (o ransomware como se lo conoce comúnmente) comenzó a golpear a las personas en vigor, esto indicaba que los malos habían ideado una nueva forma de ganar dinero: la extorsión. Pero las vulnerabilidades que se explotan para ejecutar su código y los mecanismos para entregar ese código a las máquinas de sus víctimas eran los mismos que antes … y sobre esa foundation no lo consideraría como «día cero».

5) «Soy consciente de una vulnerabilidad recién descubierta pero no hay ningún parche disponible actualmente para solucionarlo» (o un parche tan reciente que no haya tenido la oportunidad de probarlo en mi organización)

En realidad, este es un evento raro, sin embargo, argumentaría que en el caso de que no haya un parche disponible y, por lo tanto, no hay forma de actualizar los sistemas para proteger contra la vulnerabilidad, esto puede considerarse una vulnerabilidad de «día cero».

6) «Una vulnerabilidad desconocida ha sido descubierta y explotada por los malos»

En este ejemplo, nadie, excepto los ciberdelincuentes, es consciente de que existe una vulnerabilidad y, por lo tanto, nadie está tratando de solucionarlo. ESTA es una verdadera amenaza de «día cero» … desafortunadamente, aunque en realidad son bastante raros.

Entonces, ¿qué significa todo esto desde una perspectiva de seguridad?

Ese será el tema de mi próximo website, así que mira este espacio …





Enlace a la noticia unique