Em dezembro de 2013 foi publicado pela NSS Labs intitulado como "The Known Unknowns" que em tradução livre seria "O conhecido desconhecido" e tem como objetivo apresentar a análise empírica executada pela NSS sobre o mercado de compra e venda de vulnerabilidades de segurança ainda desconhecidas, os famosos 0-Days.
No mercado de segurança da informação, o 0-Day faz referencia a uma vulnerabilidade de segurança que, apesar de descoberta por um pesquisador, ainda não foi publicada ou apresentada ao fabricante do software vulnerável.
Com isso, vulnerabilidades do tipo 0-Day representam um risco para empresas que possuem os softwares onde as vulnerabilidades foram descobertas, pois ainda não existem mecanismos de correção publicados pelos fabricantes.
O material publicado tem como objetivo apresentar uma análise empírica que durou 10 anos e analisou dois grandes programas de compra de vulnerabilidades.
Durante os últimos três anos dessa análise, ao menos 58 vulnerabilidades foram adquiridas e ficaram desconhecidas por aproximadamente 151 dias. Assim, 151 dias foi o período médio de exposição para clientes de empresas como Microsoft, Apple, Oracle, Adobe entre outras.
Ainda segundo o relatório, o mercado de compra e venda de vulnerabilidades movimentou cifras milionárias, sendo o preço médio pago de 25 milhões de dólares por 25 vulnerabilidades 0-Day por ano, com a capacidade de fornecimento de mais de 100 vulnerabilidades 0-Day por ano.
Sobre os clientes desse mercado, são apresentadas empresas que tem como serviço, o fornecimento de relatórios destinados a informar seus clientes sobre vulnerabilidades ainda não divulgas e com isso, compram essas vulnerabilidades e empresas ou agências governamentais que, com objetivos diversos, investem milhões de dólares na aquisição de vulnerabilidades 0-Day.
O relatório ainda apresenta algumas recomendações para os profissionais de segurança da informação como primeiramente conhecer e reconhecer a existência desse mercado, assumir que sua infraestrutura está ou poderá estar comprometida a qualquer momento, que a prevenção é limitada e difícil e que com isso, ações de detecção e remediação são extremamente importantes.
Outros pontos que no meu ponto de vista são muito importantes são, conhecer o comportamento da infraestrutura e sistemas, pois, por exemplo, conhecer a arquitetura dos sistemas e como os elementos importantes de comunicam pode ser a única maneira de enxergar um comportamento estranho e responder em um intervalo de tempo satisfatório.
Com esse conhecimento ainda é possível aproveitar ferramentas importantes como as dotadas de HIDS (Host-based Intrusion Detection System), que corretamente parametrizadas, podem detectar alterações no Sistema Operacional, nos Sistemas Corporativos ou até na comunicação entre os sistemas. Essas ferramentas ainda podem, proativamente, tomar ações corretivas e gerar alertas destinados a possibilitar uma pronta resposta aos incidentes.
Mais uma vez, conhecer o funcionamento os sistemas existentes, da infraestrutura que suporta os sistemas e as formas como esses sistemas se comunicam é fundamental para a decisão sobre qual ferramenta adotar e como parametrizar a ferramenta para um melhor aproveitamento.
Fonte: https://www.nsslabs.com/reports/known-unknowns-0
Eder Alvares Pereira de Souza, consultor Sênior em Segurança da Informação pela e-Safer
