Vulnerabilità Zero Day

A Vulnerabilità zero-day è una falla di sicurezza sconosciuta al fornitore del software o all'azienda in cui è stata rilevata e per la quale non è stata ancora rilasciata una patch. vulnerabilitàIl termine "zero day" si riferisce al fatto che gli sviluppatori hanno avuto zero giorni per correggere la falla di sicurezza recentemente scoperta nel loro software o hardware. Un "attacco zero day" si verifica quando una vulnerabilità non ancora risolta (o addirittura sconosciuta) dagli sviluppatori di hardware o software viene sfruttata dagli hacker. Questo exploit consente agli hacker di violare un sistema sfruttando la vulnerabilità "zero day" software o hardware. 

Nel luglio 2014, Google ha avviato la "Zero Day Initiative", ovvero un programma che coinvolgeva analisti della sicurezza di Google incaricati di individuare le vulnerabilità Zero Day; questo team è chiamato "Project Zero". I ricercatori di Project Zero individuano vulnerabilità nelle soluzioni hardware e software e segnalano i risultati al produttore del prodotto. Collaborano per correggere la falla di sicurezza e rilasciare pubblicamente le patch una volta che la falla è stata colmata.

Il Progetto Zero è simile a Programmi Bug Bounty, che è un accordo offerto da molti siti web, organizzazioni e sviluppatori di software in cui gli individui possono ricevere riconoscimento e pagamento monetario per la segnalazione di bug o vulnerabilità nelle offerte di prodotti di un fornitore

Termini correlati: Programmi Bug Bounty, Divulgazione responsabile, Vulnerabilità 

Letture correlate:

Gli hacker sfruttano la vulnerabilità Zero-Day nel plugin di WordPress per creare account di amministrazione non autorizzati

Violazione dei dati presso Mitsubishi Electric causata da una vulnerabilità zero-day nel software antivirus

Fonti:  

"Incontra 'Project Zero', il team segreto di Google dedicato alla caccia ai bug"

“Annunciamo il Progetto Zero”

Symantec

Come si collega questo alle PMI?

Il modo in cui una PMI reagisce alle vulnerabilità Zero-Day dipende dal fatto che sviluppi autonomamente hardware (HW) o software (SW) oppure utilizzi hardware e software di altre aziende.

La mia PMI non sviluppa hardware o software: cosa dovrei fare?

Per le PMI che non sviluppano hardware o software, è sufficiente disporre di una policy e di un processo di gestione degli avvisi di vulnerabilità per gestire le vulnerabilità di sicurezza che vengono segnalate per l'hardware e il software utilizzati. Questo processo definisce la rapidità con cui è necessario applicare patch alle apparecchiature in base alla criticità o all'entità del rischio. Per i rischi che rappresentano una violazione totale delle reti, in cui è disponibile codice exploit e si dispone di porte e protocolli abilitati per Internet per i servizi sottoposti ad attacco, la policy stabilirà: interrompere tutto il resto ed applicare le patch immediatamente. Le vulnerabilità a basso rischio consentono di dedicare più tempo e pianificare come definito nel processo VAMP. CyberHoot dispone di un modello VAMP completamente verificato da adottare all'interno della propria azienda.

La mia PMI sviluppa hardware o software (o entrambi): cosa devo fare?

Per le PMI che sviluppano hardware o software, è consigliabile integrare un programma o processo di Bug Bounty e di divulgazione responsabile nei processi di sviluppo. Sul sito web, elencate come segnalare bug critici nel software e il modo appropriato per farlo. Se siete abbastanza grandi da offrire incentivi finanziari per la segnalazione di bug nell'ambito di un programma Bug Bounty, pubblicateli con le istruzioni su come inviare i bug e quali informazioni desiderate nelle segnalazioni. In secondo luogo, delineate la tempistica entro cui risponderete con la conferma di un bug e le tempistiche che seguirete per lo sviluppo di una correzione. L'obiettivo è evitare che un ricercatore sulla sicurezza si senta respinto o ignorato da voi e, invece di aspettare che sviluppiate una patch, pubblichi i suoi risultati alla comunità di Internet nonostante "divulgazione responsabile” migliori pratiche.

Se desideri saperne di più sulle vulnerabilità Zero Day, guarda questo breve video: