Στον κόσμο του διαδικτύου, ένα αρκετά μεγάλο μέρος των μέτρων ασφαλείας που κυκλοφορούν για τους καταναλωτές, απευθύνεται στις ευπάθειες zero day. Ως zero day, χαρακτηρίζονται οι ευπάθειες που ήταν προηγουμένως άγνωστες, χωρίς να υπάρχει κάποιο διαθέσιμο patch γι αυτές από την προμηθευτή. Οι ομάδες ασφαλείας ωστόσο πρέπει να αναρωτηθούν αν το να επικεντρώνονται στις επιθέσεις Zero Day, πραγματικά αποτελεί την καλύτερη χρήση των επιχειρησιακών πόρων;
Πολύ κακό για το τίποτα
Παρόλη την αναστάτωση που επικρατεί για τις ευπάθειες zero day, οι πιο καταστροφικές παραβιάσεις δεν οφείλονται σε τέτοιες. Σημαντικές παραβιάσεις, όπως οι επιθέσεις Equifax και WannaCry, προκλήθηκαν από ευπάθειες που ήταν γνωστές στις ομάδες ασφαλείας τη στιγμή της επίθεσης.
Για παράδειγμα, η παραβίαση του Equifax ξεκίνησε με τους επιτιθέμενους να σαρώσουν απλά τον ιστό για διακομιστές ευάλωτους στην ευπάθεια του Apache Struts (CVE-2017-5638). Διαπίστωσαν έτσι ότι υπάρχει μια ευπάθεια στους Equifax dispute portal servers. Χρησιμοποιώντας requests από αυτούς τους servers, οι επιτιθέμενοι απέκτησαν πρόσβαση σε άλλες 48 βάσεις δεδομένων. Το Apache κυκλοφόρησε μία ενημερωμένη έκδοση κώδικα για αυτό το θέμα ευπάθειας στις 8 Μαρτίου 2017, ενώ ήταν στις 13 Μαΐου 2017 όταν οι hackers εκτέλεσαν το σχέδιό τους. Έτσι, αν η Equifax είχε καλύψει την ευπάθεια οποιαδήποτε στιγμή πριν από τις 13 Μαΐου 2017, αυτή η παραβίαση δεν θα είχε συμβεί.
Μια παρόμοια ιστορία συνέβη και με το WannaCry. Δύο μήνες πριν από την επίθεση, στις 14 Μαρτίου 2017, η Microsoft κυκλοφόρησε το ενημερωτικό δελτίο MS17-010 για το EternalBlue μαζί με patches για όλες τις υποστηριζόμενες εκδόσεις των Windows. Ωστόσο, όταν η επίθεση συνέβη τον Μάιο του 2017, πολλά συστήματα των Windows αφέθηκαν χωρίς patch ή λειτουργούσαν με μη υποστηριζόμενα λειτουργικά συστήματα, όπως τα Windows XP.
Και στις δύο αυτές περιπτώσεις, ένα απλό patch της ήδη γνωστής ευπάθειας θα εμπόδιζε την κλοπή εκατομμυρίων προσωπικών αρχείων και θα μείωνε σημαντικά τις οικονομικές ζημιές.
Με το να εστιάζουν περισσότερο στις ευπάθειες zero day, οι εταιρείες δεν χάνουν μόνο τον στόχο, αλλά επίσης αγνοούν την πραγματικότητα ότι η συντριπτική πλειονότητα των επιθέσεων χρησιμοποιούν γνωστά τρωτά σημεία. Ο Roger Grimes, ένας αναλυτής ασφαλείας, σημειώνει ότι οι περισσότεροι πελάτες της Microsoft έπεσαν θύματα hacking από τα τρωτά σημεία για τα οποία είχαν δημιουργηθεί patches πριν από χρόνια.
Από τον Απρίλιο του 2019, η Zero Day Initiative ανέφερε 89 ευπάθειες Zero Day για το 2019. Σε σύγκριση με τα 2634 γνωστά τρωτά σημεία για το 2019 μέχρι σήμερα, τα τρωτά σημεία Zero Day αντιπροσωπεύουν μόλις το 3% όλων των τρωτών σημείων για το έτος. Η διαχείριση των patches είναι η δοκιμασμένη και βέλτιστη λύση για την προστασία των συστημάτων από επιθέσεις και παραβιάσεις.
Ένα ελάττωμα που δεν έχει ανακαλυφθεί δεν το καθιστά μεγαλύτερη απειλή από τα γνωστά ελαττώματα. Όπως δείχνει η παραβίαση του Equifax, οι hackers ενδιαφέρονται να βρουν οργανισμούς που δεν έχουν επιδιορθώσει γνωστές ευπάθειες. Οι hackers πρέπει να κάνουν όσο το δυνατόν καλύτερη χρήση του χρόνου και των πόρων τους και προσπαθώντας να εκμεταλλευτούν τις γνωστές ευπάθειες είναι συχνά το καλύτερο που έχουν να κάνουν από το να αναζητούν καινούριες ευπάθειες.
Η σωστή διαχείριση μιας ευπάθειας, θα εξαλείψει το μεγαλύτερο μέρος του κινδύνου που θα αντιμετωπίσει μια επιχείρηση σχετικά με τις διαδικτυακές επιθέσεις. Η εστίαση σε γνωστά τρωτά σημεία θα έχει πολύ μεγαλύτερη επίδραση στην προστασία της επιχείρησης. Ωστόσο, η αναγνώριση της απειλής που προέρχεται από γνωστά τρωτά σημεία, είναι μόνο μία πτυχή για την υιοθέτηση ενός κατάλληλου προγράμματος διαχείρισης ευπαθειών. Το επόμενο βήμα είναι η ιεράρχηση και η αποκατάστασή τους.
