Os riscos causados pelo desconhecido

Em dezembro de 2013 foi publicado pela NSS Labs intitulado como “The Known Unknowns“ que em tradução livre seria “O conhecido desconhecido“ e tem como objetivo apresentar a análise empírica executada pela NSS sobre o mercado de compra e venda de vulnerabilidades de segurança ainda desconhecidas, os famosos 0-Days.

No mercado de segurança da informação, o 0-Day faz referencia a uma vulnerabilidade de segurança que, apesar de descoberta por um pesquisador, ainda não foi publicada ou apresentada ao fabricate do software vulnerável.

Com isso, vulnerabilidades do tipo 0-Day representam um risco para empresas que possuem os softwares onde as vulnerabilidades foram descobertas, pois ainda não existem mecanismos de correção publicados pelos fabricantes.

O material publicado tem como objetivo apresentar uma análise empírica que durou 10 anos e analisou dois grandes programas de compra de vulnerabilidades.

Durante os últimos três anos dessa análise, ao menos 58 vulnerabilidades foram adquiridas e ficaram desconhecidas por aproximadamente 151 dias. Assim, 151 dias foi o período médio de exposição para clientes de empresas como Microsoft, Apple, Oracle, Adobe entre outras.

Ainda segundo o relatório, o mercado de compra e venda de vulnerabilidades movimentou cifras milionárias, sendo o preço médio pago de 25 milhões de dólares por 25 vulnerabilidades 0-Day por ano, com a capacidade de fornecimento de mais de 100 vulnerabilidades 0-Day por ano.

Sobre os clientes desse mercado, são apresentadas empresas que tem como serviço, o fornecimento de relatórios destinados a informar seus clientes sobre vulnerabilidades ainda não divulgas e com isso, compram essas vulnerabilidades e empresas ou agências governamentais que, com objetivos diversos, investem milhões de dólares na aquisição de vulnerabilidades 0-Day.

O relatório ainda apresenta algumas recomendações para os profissionais de segurança da informação como primeiramente conhecer e reconhecer a existência desse mercado, assumir que sua infraestrutura está ou poderá estar comprometida a qualquer momento, que a prevenção é limitada e difícil e que com isso, ações de detecção e remediação são extremamente importantes.

Outros pontos que no meu ponto de vista são muito importantes são, conhecer o comportamento da infraestrutura e sistemas, pois, por exemplo, conhecer a arquitetura dos sistemas e como os elementos importantes de comunicam pode ser a única maneira de enxergar um comportamento estranho e responder em um intervalo de tempo satisfatório.

Com esse conhecimento ainda é possível aproveitar ferramentas importantes como as dotadas de HIDS (Host-based Intrusion Detection System), que corretamente parametrizadas, podem detectar alterações no Sistema Operacional, nos Sistemas Corporativos ou até na comunicação entre os sistemas. Essas ferramentas ainda podem, pro-ativamente, tomar ações corretivas e gerar alertas destinados a possibilitar uma pronta resposta aos incidentes.

Mais uma vez, conhecer o funcionamento os sistemas existentes, da infraestrutura que suporta os sistemas e as formas como esses sistemas se comunicam é fundamental para a decisão sobre qual ferramenta adotar e como parametrizar a ferramenta para um melhor aproveitamento.*Fonte: https://www.nsslabs.com/reports/known-unknowns-0.

.Por: Eder Alvares Pereira de Souza – Consultor Sênior em Segurança da Informação pela e-Safer. | Profissional com aproximadamente 15 anos de experiência na área de Infraestrutura de TI e Segurança da Informação. Formado em Ciências da Computação pela FAC-FITO, pós-graduado em Segurança da Informação pelo IBTA, com MBA em Gestão Empresarial pela FGV e Mestrando em Engenharia de Software no IPT/USP.