Muitas vezes as conversas sobre as formas de como os cibercriminosos e hackers podem comprometer e invadir uma organização, nos remete para uso de exploits e de exploit kits. Todo software pode ter falhas e defeitos e um cibercriminoso só precisa encontrar uma nova vulnerabilidade não revelada (zero-day) ou usar uma das muitas vulnerabilidades já divulgadas para criar um exploit preparado para comprometer uma máquina ou dispositivo.
Isso aconteceu com as principais ameaças em 2017, incluindo WannaCry, Petya/Not-Petya e a violação da Equifax. Os cibercriminosos sabem que é complicado administrar as correções e que muitos sistemas de uma organização não foram ou não puderam ser corrigidos devido a políticas ultrapassadas de software ou provedores em relação ao gerenciamento de dispositivos. Todos esses fatores representam falhas críticas na defesa das organizações. A boa notícia é que há uma organização de vanguarda que apoia a divulgação responsável de vulnerabilidades, para assim proteger as organizações contra exploits conhecidas e desconhecidas.
O Zero Day Initiative (ou ZDI) da Trend Micro foi fundada em 2005 para incentivar a divulgação responsável de vulnerabilidades de zero-day para os fornecedores, recompensando financeiramente os pesquisadores por meio de um programa de incentivo. Atualmente, o ZDI é o maior programa do mundo compatível com diversas plataformas e sistemas operacionais que recompensa a descoberta de falhas (bug), com mais de 3.500 pesquisadores independentes em todo o mundo, além da equipe interna.
Esses profissionais descobrem e revelam vulnerabilidades não divulgadas e que foram encontradas em diversos aplicativos corporativos, incluindo, mas não limitado a, Microsoft, Adobe, Apple, VMware, Oracle e até mesmo aplicativos SCADA/ICS que são usados em infraestruturas críticas de muitas nações. Por meio deste programa, o ZDI pode obter e validar vulnerabilidades não divulgadas e trabalhar com os fornecedores afetados para divulgá-las de forma responsável. Na maioria dos casos, os fornecedores conseguem disponibilizar uma correção antes que a vulnerabilidade seja divulgada.
Dois eventos anuais importantes, Pwn2Own e Mobile Pwn2Own, permitem que os pesquisadores formem grupos e apresentem suas vulnerabilidades para ganharem incentivos em dinheiro e serem premiados com o título de Master of Pwn. Esses eventos são uma outra forma de descobrir novas vulnerabilidades, que então são gerenciadas pela ZDI e pelos fornecedores para oferecer correções ao público.
Você pode estar se perguntando como nós (da Trend Micro) podemos afirmar que a ZDI é o “maior programa do mundo que recompensa a descoberta de falhas (bug)? ” Não acredite só em nossa palavra: a Frost & Sullivan publicou o relatório “Análise da Pesquisa Global e Pública de Vulnerabilidades, 2017”, com perfil de muitas das agências que denunciam e divulgam vulnerabilidades, incluindo a ZDI. Desde 2007, a ZDI foi descrita como o único programa que consistentemente reportou não apenas as vulnerabilidades mais importantes, mas também as mais críticas, bem como as mais reportadas ao ICS-CERT. Veja alguns dos números do relatório de 2017:
- 1.522 vulnerabilidades divulgadas
- 1.009 (66,3%) foram descobertas pela ZDI
- A ZDI foi responsável por 8% das vulnerabilidades que foram categorizadas como Crítica ou de Alta Severidade
Isso permite que essas organizações apliquem correções e se protejam de forma garantida contra quaisquer exploits criadas pelos cibercriminosos e que podem ser usadas contra elas. Para os clientes da Trend Micro que usam produtos TippingPoint, isso também significa que eles têm uma proteção preventiva contra essas vulnerabilidades através de uma correção virtual antes que a correção divulgada publicamente seja disponibilizada pelo fornecedor afetado. Em 2017, os filtros pré-divulgados eram disponibilizados para os clientes cerca de:O que isso significa para o público e para os clientes da Trend Micro? A ZDI e seus pesquisadores independentes estão ajudando a garantir que muitas das vulnerabilidades encontradas em sistemas e aplicativos usados por empresas e organizações com infraestruturas críticas de SCADA/ICS tenham uma correção disponível quando a vulnerabilidade for divulgada.
- 42 dias antes dos boletins da Microsoft
- 63 dias antes dos boletins da Adobe
- 72 dias antes dos boletins de todos os provedores
Para mais informações sobre o ZDI e as estatísticas do relatório Frost & Sullivan, confira este infográfico. Para ler o relatório completo da Frost & Sullivan, baixe aqui.Isso minimiza a janela de oportunidade que o cibercriminoso tem para criar um exploit e usá-lo um ataque antes ou depois do fornecedor disponibilizar correções. As organizações podem usar a correção virtual de forma muito eficiente e garantir que se protejam com o mínimo de interrupção operacional. A proteção contra exploits e exploit kits é aprimorada proativamente por meio da pesquisa de vulnerabilidade de renome global fornecida pelo ZDI.
Por favor, comente o que achou ou siga-me no Twitter: @jonlclay.