Un exploit de día cero, en esencia, es una falla simple. Una falla en el software o hardware que, aunque simple, puede crear problemas complicados mucho antes de que alguien se dé cuenta de que algo está mal. De hecho, un exploit de día cero NO deja ninguna oportunidad de detección … al principio.
Un ataque de día cero ocurre una vez que ese defecto, o la vulnerabilidad de software / hardware se explota, y los atacantes liberan malware antes de que un desarrollador tenga la oportunidad de crear un parche para corregir la vulnerabilidad, por lo tanto, “día cero”. Analicemos los pasos de la ventana de vulnerabilidad:
- Los desarrolladores de una empresa crean software, pero sin que ellos lo sepan, incluye una vulnerabilidad
- El actor de amenaza detecta esa vulnerabilidad antes de que lo haga el desarrollador o actúa sobre ella antes de que el desarrollador tenga la oportunidad de corregirla
- El atacante escribe e implementa código de explotación mientras la vulnerabilidad aún está abierta y disponible
- Después de liberar el exploit, el público lo reconoce en forma de robo de identidad o información, o el desarrollador lo detecta y crea un parche para detener el sangrado cibernético.
Una vez que se escribe y utiliza un parche, el exploit ya no se llama exploit de día cero. Estos ataques rara vez se descubren de inmediato. De hecho, a menudo toma no solo días, sino meses y, a veces, años antes de que un desarrollador se entere de la vulnerabilidad que provocó un ataque.
- ¿Qué certificado SSL necesito si todos mis dominios y subdominios están ocultos / redirigiendo a un dominio?
- ¿Qué has pirateado?
- ¿Cómo se puede hackear o rastrear una contraseña OTP en el momento en que se genera desde el servidor y se envía a un número de teléfono móvil?
- ¿Qué tipos de contraseñas son las más difíciles de hackear?
- ¿Cómo determinan los investigadores de seguridad de la información la fuente de un ataque de pirateo?
FireEye detecta más de estos que cualquier otra tecnología de seguridad debido a la aplicación adecuada de tecnología, inteligencia y experiencia. Por ejemplo, FireEye se enfoca en el flujo de comunicación y no solo en los objetos (como lo hace una caja de arena): el exploit a menudo se puede detectar a través de su comportamiento de flujo (a menudo bidireccional). Esto es parte de lo que FireEye está analizando, lo que potencialmente conduce a la detección y a alertas o bloqueos, dependiendo de cómo haya configurado la solución.