Samuele Zaniboni, Senior Manager of Sales IT and Technical Engineer in Eset Italia, afferma che le aziende devono imparare a mitigare le minacce alla cybersecurity provenienti da vulnerabilità sconosciute soprattutto perché queste attività sono in forte aumento
Le vulnerabilità zero-day hanno sempre avuto una certa fama nell’ambito della cybersecurity. I bug presenti nei software vengono sfruttati per sferrare attacchi prima che la falla sia nota anche al vendor stesso, quindi prima che possa essere rilasciata una patch. Questo porta che queste vulnerabilità di sicurezza siano teoricamente molto più difficili da controllare, diventando perciò una prospettiva invitante per gli autori delle minacce. Gli exploit che vengono sviluppati per trarne vantaggio possono essere un serio problema per i responsabili IT. Preoccupano i risultati di due recenti studi che rivelano che questi attacchi sono ora a un livello mai visto prima.
Questa recente impennata nei volumi potrebbe essere dovuta al fatto che il settore tecnologico sta potenziando il rilevamento e la divulgazione di questi attacchi. Ma in ogni caso, le organizzazioni devono imparare a mitigare la minaccia proveniente da vulnerabilità sconosciute, soprattutto perché i criminali informatici interessati a trarne profitto stanno intensificando la loro attività.
Cybersecurity, un anno record per cosa?
Il team Project Zero di Google è stato istituito più di otto anni fa con l’obiettivo specifico di identificare e rivelare responsabilmente i bug zero-day ai vendor. Ha riscontrato un ottimo ritorno nel farlo, per il grande interesse suscitato dalle informazioni sul comparto che condivide. Il suo ultimo report annuale rivela che ci sono stati 58 zero-day “in-the-wild” tracciati l’anno scorso, più del doppio rispetto ai 28 individuati nel 2015, e molto più dei 25 rilevati nel 2020.
Tuttavia, non tutto è come può sembrare all’apparenza. Secondo la ricercatrice di cybersecurity di Google, Maddie Stone, è in realtà quasi impossibile tracciare la vera cifra degli exploit zero-day, poiché gli autori della minaccia che li utilizzano mantengono l’anonimato, per ovvie ragioni. In sostanza, la Stone sostiene che la cifra record potrebbe essere giustificata da una migliore rilevazione e divulgazione degli exploit. Sia il numero di ricercatori che lavorano per trovare e segnalare gli zero-day sia il numero di produttori che rilevano e rivelano gli zero-day nei loro prodotti è aumentato. Questo è un segno di qualche progresso.
Gli operatori pubblici guidano l’aumento
Una ricerca indipendente di Mandiant fa maggior luce sull’argomento. Ha identificato 80 vulnerabilità zero-day sfruttate l’anno scorso, più del doppio del precedente record di 32 nel 2019. Anche se l’azienda ha riconosciuto che questo potrebbe essere dovuto al maggior numero di segnalazioni, ha anche sostenuto che l’aumento potrebbe essere dovuto sia allo spostamento verso tecnologie di cloud hosting, mobile e Internet of Things (IoT), che aumenta il volume e la complessità del software e dei sistemi connessi a Internet sia all’espansione dell’exploit broker marketplace, che fa sì che più risorse vengono trasferite alla ricerca e sviluppo di zero-day, sia da aziende private che da gruppi criminali.
Tre quarti dei bug zero-day identificati da Mandiant provengono da prodotti di Microsoft, Apple e Google, con gruppi sostenuti da enti governativi guidati dalla Cina come “soggetti principali”. Gli exploit più prolifici sono stati quelli utilizzati per sfruttare quattro zero-day scoperti in Microsoft Exchange Server (“ProxyLogon”) lo scorso marzo. Questo attacco non solo ha mostrato la velocità con cui i gruppi stanno intervenendo sui bug appena scoperti per sfruttarli prima che vengano rilasciate le patch, ma ha anche dimostrato il coinvolgimento di più autori, compresi gruppi di criminali informatici. ESET ha scoperto vari gruppi APT che sfruttano ProxyLogon su migliaia di server Exchange l’anno scorso. Esistono anche report che rivelano che alcuni gruppi ransomware ben pagati stanno considerando lo sfruttamento di exploit zero-day per l’accesso iniziale.
Le stesse vecchie tecniche
Un pò a sorpresa, nonostante l’aumento degli zero-day, le tecniche d’attacco utilizzate sono sempre le stesse, secondo Stone di Google. Che spiega: “Gli zero-day che abbiamo registrato nel 2021 hanno generalmente seguito gli stessi modelli di bug, superfici di attacco e “forme” di exploit precedentemente osservati nella ricerca ufficiale. Ci saremmo aspettati che per riuscire nell’intento una volta che lo zero-day diventa più ostico, gli attaccanti facessero ricorso a nuove vulnerabilità di bug in nuove superfici di attacco utilizzando metodi di exploit mai visti prima. In generale, i dati raccolti ci dicono che così non è stato”.
Infatti, su 58 episodi registrati da Google, per il 67% si trattava di vulnerabilità di compromissione della memoria, modalità molto diffusa del panorama delle minacce negli ultimi decenni. Di queste, risulta che la maggior parte degli aggressori abbia anche colpito utilizzando classi di bug più popolari e conosciute: use-after-free; out-of-bounds read & write; buffer overflow e integer overflow.
Che cosa implica questo nella gestione delle vulnerabilità?
Come ha sostenuto Stone di Google, l’industria deve impegnarsi nel rendere gli exploit zero-day più difficili da sviluppare per gli autori delle minacce. Ciò significa applicare correttamente le patch e garantire che quando i bug sono risolti, qualsiasi via d’attacco simile in prodotti simili venga bloccata. Questo costringerà gli aggressori a ricominciare da zero quando cercano di trovare nuovi bug zero-day.
Nel frattempo, i CISO possono investire in strumenti per favorire il rilevamento di minacce sconosciute. Il sandboxing proattivo basato sul cloud, per esempio, fornisce un ulteriore livello di protezione al di fuori della rete di un’organizzazione ed esegue programmi sospetti in un ambiente sicuro, dove il suo codice e il suo contenuto possono essere controllati da algoritmi di machine learning, detection basato sul comportamento e altri strumenti. Tutto ciò che viene considerata minaccia zero-day viene bloccato in questa fase.
Nozioni di base da ricordare sugli zero-day
Vale anche la pena ricordare che, sebbene importanti, gli exploit zero-day non sono l’unica minaccia che le organizzazioni devono affrontare. Infatti, le aziende hanno statisticamente più probabilità di essere colpite da un exploit per una vulnerabilità nota – magari addirittura risalente a molti anni fa.
Come tale, una buona cyber-igiene si rivela fondamentale per un’efficace gestione del rischio informatico. Bisogna attuare patch continue basate sul rischio delle vulnerabilità note; prevedere la formazione sui rischi della cybersecurity per tutto il personale; attuare misure di sicurezza della supply chain per garantire che i partner siano opportunamente sottoposti a cyber-igiene; effettuare controlli sulla supply chain del software per garantire che i componenti open source utilizzati per lo sviluppo interno siano privi di vulnerabilità/malware; applicare la gestione continua della configurazione per mitigare il rischio di sistemi esposti accidentalmente.
Una cybersecurity efficace significa proteggere l’organizzazione da vulnerabilità sia note che sconosciute. Il modo migliore per farlo è attraverso una difesa a più livelli, che includa anche policy aggiornate e un focus sulla mitigazione del rischio informatico, ovunque esso sia.
