Что такое атака нулевого дня?

Атака, использующая уязвимость программного обеспечения до того, как разработчик успел ее устранить, называется атакой нулевого дня.

.st0{fill:#0D3ECC;} СКАЧАТЬ MALWAREBYTES БЕСПЛАТНО

Также для Windows, iOS, Android, Chromebook и For Business

Вы можете не задумываться о программном обеспечении, которое используете на своих компьютерах и устройствах, но за интерфейсом стоит высоко сложный код, который могла разрабатывать и оттачивать большая команда разработчиков многие годы. Несмотря на все старания, разработчики могут не заметить какие-либо недостатки в программном обеспечении. Хотя некоторые из них только влияют на пользовательский опыт, другие - гораздо серьезнее.  

Дефект нулевого дня - это любая уязвимость в программном обеспечении, которую могут использовать хакеры и для которой еще нет исправления. Разработчики программного обеспечения могут либо не знать об этой слабости, либо разрабатывать для нее исправление, либо игнорировать ее. Как вы понимаете, такая уязвимость может привести к критическому нарушению кибербезопасности.

Почему его называют "нулевым днем"?

Многие люди хотят знать, почему эксперты называют этот тип компьютерной эксплойта уязвимость нулевого дня, а не как-то иначе. Признаемся, в этом названии есть некоторая ирония. В мире вычислительной техники это называют атакой нулевого дня — потому что у разработчиков программного обеспечения есть ноль дней, чтобы отреагировать после того, как хакеры воспользовались уязвимостью. Это как попытка закрыть двери сарая после того, как волк уже побывал внутри. Конечно, вы можете предотвратить будущие атаки, но это мало утешает по поводу пропавших овец.  

После того как уязвимость нулевого дня становится публичной, это уже не уязвимость нулевого дня — это просто уязвимость. Обычно производители работают всю ночь напролет, чтобы разработать патч и как можно скорее устранить слабость.

Как обнаруживаются ошибки "нулевого дня"?

Поскольку производители работают сверхурочно, чтобы минимизировать уязвимости, вы будете замечать обновления своего программного обеспечения довольно регулярно. Иногда обновления безопасности даже выходят в тот же день, когда дебютирует программное обеспечение. Хотя разработчикам нравится находить дыры в системе безопасности своими силами, они также не против помощи со стороны. 

Хакеры в белых шляпах

White hat hacker — устаревший термин для этичного хакера. Компании нанимают таких специалистов для усиления сетевой безопасности. Выявление потенциальных уязвимостей нулевого дня может быть частью работы.

Хакеры в серых шляпах

Хакеры "серой шляпы" напоминают "белых шляп", за исключением того, что они не работают официально. Такие хакеры могут пытаться найти уязвимости нулевого дня в надежде получить работу в компании, обрести известность или просто ради развлечения. Хакер "серой шляпы" никогда не использует обнаруженные недостатки. Примером является случай, когда хакер использовал уязвимость платформы криптовалют Poly Network, чтобы взять токены на сумму $600 миллионов, прежде чем вернуть сумму.

Конкурсы

Многие компании, занимающиеся разработкой программного обеспечения, проводят хакерские мероприятия и платят хакерам деньги и призы за поиск эксплойтов. Здесь хакеры находят недостатки в операционных системах, веб-браузерах и приложениях для мобильных устройств и компьютеров. Недавно на Pwn2Own два голландских специалиста по безопасности забрали домой 200 000 долларов за обнаружение "нулевого дня" Zoom.

Исследователи

Исследователи из компаний, занимающихся кибербезопасностью, таких как Malwarebytes , ищут эксплойты в рамках своей работы. Если исследователи находят эксплойт раньше злоумышленников, они обычно сообщают об этом производителям, прежде чем обнародовать информацию. Предоставляя производителям преимущество, исследователи могут свести к минимуму вероятность того, что хакеры начнут атаки "нулевого дня".

Как обнаруживаются атаки "нулевого дня"?

Пользователь программного обеспечения понимает, что стал целью атаки нулевого дня, когда его система ведет себя необычно или когда хакер использует эксплойт для распространения вредоносного ПО, такого как вирус-вымогатель. Исследователи также могут обнаружить атаку нулевого дня после события. Например, после атаки Stuxnet на Иран, поддерживаемой государством, исследователи по всему миру поняли, что это была атака червя нулевого дня. Иногда атака нулевого дня распознается производителем после того, как клиент сообщает о подозрительной активности.

Часто ли происходят атаки "нулевого дня"?

Атаки нулевого дня, такие как удар червя Stuxnet, имеют конкретные цели и не затрагивают обычных пользователей компьютеров. Тем временем уважаемые компании, такие как Microsoft, Apple и Google, обычно устраняют уязвимости нулевого дня как можно быстрее, чтобы защитить свою репутацию и своих пользователей. Часто будет выпущено исправление до того, как средний пользователь окажется затронутым. Тем не менее, уязвимости нулевого дня не следует воспринимать легкомысленно, поскольку их влияние может быть чрезвычайно разрушительным.

Как происходит атака нулевого дня?

  • Идентификация: Хакеры находят незарегистрированные уязвимости в программном обеспечении путем тестирования или покупки на черных рынках в подполье Интернета, таких как Dark Web.
  • Создание: Субъекты угроз создают наборы, скрипты или процессы, которые могут использовать вновь найденные уязвимости.
  • Разведка: Злоумышленники уже имеют на примете цель или используют такие инструменты, как боты, зондирование или сканеры, чтобы найти выгодные цели с эксплуатируемыми системами.
  • Планирование: Прежде чем начать атаку, хакеры оценивают сильные и слабые стороны своей цели. Они могут использовать социальную инженерию, шпионаж или любую другую тактику, чтобы проникнуть в систему.  
  • Эксплуатация: С подготовленной почвой злоумышленники внедряют свое вредоносное ПО и используют уязвимость.

Как защитить себя от атак "нулевого дня

Остановить злоумышленников от использования неизвестных уязвимостей для проникновения в вашу систему, несомненно, сложно. Очень важно закрыть векторы угроз, которые могут быть использованы злоумышленниками для проникновения в вашу сеть, с помощью многоуровневых систем защиты и более безопасных методов. Вот несколько советов, которые могут помочь вам обнаружить и предотвратить неизвестные угрозы:

  • Не используйте старое программное обеспечение. Хакерам легче создавать эксплойты для программ, которые производитель больше не поддерживает.
  • Используйте современные антивирусные инструменты с функциями машинного обучения, обнаружения поведенческих факторов и защиты от эксплойтов. Такие функции помогут вашим средствам кибербезопасности остановить угрозы с неизвестными сигнатурами.
  • В компаниях:
    • Обучите сотрудников распознавать атаки социальной инженерии, такие как фишинг копьем, которые хакеры могут использовать в качестве вектора атаки.
    • Примите решения Endpoint Detection and Response (EDR), чтобы контролировать и защитить ваши конечные точки.
    • Усильте сетевую безопасность с помощью брандмауэров, частных VPN и IPsec.
    • Разделяйте сети с помощью надежных средств контроля доступа.

Новости о нулевых днях