¿Puede alguien explicarme qué es un ataque de día cero con un ejemplo muy simple? Además, ¿cómo se puede prevenir?
El término Zero Day o Zero Hour puede aplicarse a cualquier tipo de ataque. En realidad, es solo una clasificación dada al período de tiempo en el que una persona u organización acaba de descubrir una vulnerabilidad, pero Aún no ha sido divulgado públicamente.
Algunas definiciones también incluyen el primer día o "Día Cero" de un anuncio de vulnerabilidades y la carrera entre atacantes y defensores para atacar o defender sus sistemas cuando se realiza este tipo de anuncio.
Los ataques Zero Day son particularmente peligrosos porque durante el corto período de tiempo no se han revelado, los atacantes pueden comprometer efectivamente cierto nivel de acceso al sistema en casi todos los sistemas que son vulnerables. En algunos casos, esto puede dar a un atacante acceso a millones de dispositivos o acceso a muchos datos confidenciales.
Una vez que se haya divulgado públicamente o haya una remediación conocida, ya no se considera un Día Cero. Nota: algunas definiciones varían aquí.
Por lo tanto, no existe una "solución" para evitar los ataques de día cero, ya que siempre se descubrirán nuevas vulnerabilidades y vulnerabilidades antes de que se puedan crear las medidas correctivas para evitar que se exploten tales problemas.
Efectivamente, los agujeros siempre existirán antes de sus respectivos parches .
Esto dice que hay defensas adicionales que se pueden implementar para reducir el riesgo de ciertos tipos de ataques de Día Cero o limitar su daño, pero no es posible anticipar todos los vectores de ataque.
Esta es realmente la razón por la que desea tener múltiples herramientas de seguridad porque en un momento dado una capa de defensa (una de sus herramientas de seguridad puede fallar o ser vulnerable).
En otras palabras, si piensa que la seguridad es una función del tiempo, en algún momento existirá una vulnerabilidad incluso en las redes más seguras.
Si solo tiene un nivel de defensa que protege sus datos, su seguridad tendrá el siguiente aspecto:
Time: ----->
Layer 1 Security: -------------------- ----------------
Zero Day occurs here ^ ^ vulnerability fixed here.
Si tiene varias capas de defensas (o defensa en profundidad) en teoría, a medida que surjan diferentes vulnerabilidades a tiempo, sus defensas se parecerán más a las siguientes:
Layer 1 Security: -------------------- ----------------
Layer 2 Security: -------------- ----------------------
Layer 3 Security: --- --------------------- ---------
Aunque cada capa de seguridad recibe vulnerabilidades de vez en cuando, no todas se alinean para que un atacante pueda atravesar las tres capas. En raras ocasiones, esto puede suceder, pero estadísticamente varias capas pueden proporcionar una seguridad mucho mejor que una sola capa.
Una de las mejores defensas contra Zero-Days es un personal muy disciplinado que mantiene múltiples niveles de seguridad actualizados. La disciplina es clave aquí, las capas solo te dan más tiempo.
Cero días es la cantidad de tiempo que se conoce la vulnerabilidad. Por lo tanto, significa que la vulnerabilidad es desconocida para las personas que escribirían o arreglarían el software. ¡La razón por la que son tan valiosos en el mercado negro es porque nadie está trabajando actualmente para solucionarlo!
Mantener su software actualizado es una buena defensa contra las vulnerabilidades conocidas, pero no lo protege de los ataques de día cero. La solución es la defensa en profundidad y la reducción de su superficie de ataque (desactive todos los servicios que no esté usando).
La definición más simple para los ataques de día cero son los ataques a vulnerabilidades que no han sido parcheadas o hechas públicas. O también puede definirlos como ataques que aprovechan una vulnerabilidad de seguridad el mismo día que la vulnerabilidad se hace pública (día cero).
Lea otras preguntas en las etiquetas attacks attack-prevention zero-day