Что такое атака нулевого дня?

Атака, использующая уязвимость программного обеспечения до того, как разработчик успел ее устранить, называется атакой нулевого дня.

.st0{fill:#0D3ECC;} СКАЧАТЬ MALWAREBYTES БЕСПЛАТНО

Также для Windows, iOS, Android, Chromebook и Для бизнеса

Вы можете не задумываться о программном обеспечении, которое используется для работы ваших компьютеров и устройств, но за интерфейсом скрывается сложнейший код, на написание и доводку которого у большой команды разработчиков ушли годы. Несмотря на все усилия, разработчики могут упустить недостатки программного обеспечения. Некоторые недостатки влияют только на удобство работы пользователя, но другие гораздо серьезнее.  

Дефект нулевого дня - это любая уязвимость в программном обеспечении, которую могут использовать хакеры и для которой еще нет исправления. Разработчики программного обеспечения могут либо не знать об этой слабости, либо разрабатывать для нее исправление, либо игнорировать ее. Как вы понимаете, такая уязвимость может привести к критическому нарушению кибербезопасности.

Почему его называют "нулевым днем"?

Многие хотят знать, почему эксперты называют этот тип компьютерных эксплойтов уязвимостью нулевого дня, а не как-нибудь иначе. Конечно, в этом названии есть доля сарказма. Люди в компьютерном мире называют это атакой нулевого дня - потому что у создателей программного обеспечения есть ноль дней, чтобы отреагировать после того, как хакеры воспользовались уязвимостью. Это все равно что закрывать дверь амбара после того, как волк уже вошел внутрь. Конечно, вы можете предотвратить будущие атаки, но это мало утешит пропавшую овцу.  

После того как уязвимость "нулевого дня" стала достоянием общественности, это уже не уязвимость "нулевого дня" - это просто уязвимость. Обычно производители, как только узнают об уязвимости, сразу же приступают к разработке патча для ее устранения.

Как обнаруживаются ошибки "нулевого дня"?

Поскольку производители работают сверхурочно, чтобы минимизировать уязвимости, вы будете замечать обновления своего программного обеспечения довольно регулярно. Иногда обновления безопасности даже выходят в тот же день, когда дебютирует программное обеспечение. Хотя разработчикам нравится находить дыры в системе безопасности своими силами, они также не против помощи со стороны. 

Белые шляпы хакеров

Белошляпный хакер - это архаичный термин, обозначающий этичного хакера. Компании нанимают таких специалистов для повышения уровня сетевой безопасности. Выявление потенциальных ошибок "нулевого дня" может быть частью работы.

Хакеры "серой шляпы

Хакеры "серой шляпы" похожи на "белых шляп", только работают они не в официальном качестве. Такие хакеры могут пытаться найти ошибки нулевого дня в надежде получить работу в компании, добиться известности или просто ради развлечения. Хакеры "серой шляпы" никогда не используют обнаруженные ими недостатки в своих интересах. В качестве примера можно привести случай, когда хакер использовал уязвимость в криптовалютной платформе Poly Network, чтобы забрать токены на сумму 600 миллионов долларов, а затем вернуть их обратно.

Конкурсы

Многие компании, занимающиеся разработкой программного обеспечения, проводят хакерские мероприятия и платят хакерам деньги и призы за поиск эксплойтов. Здесь хакеры находят недостатки в операционных системах, веб-браузерах и приложениях для мобильных устройств и компьютеров. Недавно на Pwn2Own два голландских специалиста по безопасности забрали домой 200 000 долларов за обнаружение "нулевого дня" Zoom.

Исследователи

Исследователи из компаний, занимающихся кибербезопасностью, таких как Malwarebytes , ищут эксплойты в рамках своей работы. Если исследователи находят эксплойт раньше злоумышленников, они обычно сообщают об этом производителям, прежде чем обнародовать информацию. Предоставляя производителям преимущество, исследователи могут свести к минимуму вероятность того, что хакеры начнут атаки "нулевого дня".

Как обнаруживаются атаки "нулевого дня"?

Пользователь программного обеспечения понимает, что стал жертвой атаки нулевого дня, когда его система ведет себя необычно или когда хакер использует эксплойт для распространения угрожающего вредоносного ПО, например ransomware. Исследователи также могут обнаружить атаку нулевого дня после какого-либо события. Например, после государственной атаки Stuxnet на Иран исследователи по всему миру поняли, что это была атака червя нулевого дня. Иногда атаки "нулевого дня" распознаются производителем после того, как клиент сообщает о необычной активности.

Часто ли происходят атаки "нулевого дня"?

Атаки нулевого дня, подобные атаке червя Stuxnet, имеют конкретные цели и не затрагивают обычных пользователей компьютеров. Между тем авторитетные компании, такие как Microsoft, Apple и Google, обычно устраняют "нулевые дни" как можно скорее, чтобы защитить свою репутацию и своих пользователей. Зачастую исправления выходят до того, как они затронут обычного пользователя. Тем не менее, к "нулевым дням" не стоит относиться легкомысленно, поскольку их последствия могут нанести серьезный ущерб.

Как происходит атака нулевого дня?

  • Идентификация: Хакеры находят незарегистрированные уязвимости в программном обеспечении путем тестирования или покупки на черных рынках в подполье Интернета, таких как Dark Web.
  • Создание: Субъекты угроз создают наборы, скрипты или процессы, которые могут использовать вновь найденные уязвимости.
  • Разведка: Злоумышленники уже имеют на примете цель или используют такие инструменты, как боты, зондирование или сканеры, чтобы найти выгодные цели с эксплуатируемыми системами.
  • Планирование: Прежде чем начать атаку, хакеры оценивают сильные и слабые стороны своей цели. Они могут использовать социальную инженерию, шпионаж или любую другую тактику, чтобы проникнуть в систему.  
  • Выполнение: Когда все готово, злоумышленники устанавливают свое вредоносное ПО и используют уязвимость.

Как защитить себя от атак "нулевого дня

Остановить злоумышленников от использования неизвестных уязвимостей для проникновения в вашу систему, несомненно, сложно. Очень важно закрыть векторы угроз, которые могут быть использованы злоумышленниками для проникновения в вашу сеть, с помощью многоуровневых систем защиты и более безопасных методов. Вот несколько советов, которые могут помочь вам обнаружить и предотвратить неизвестные угрозы:

  • Не используйте старое программное обеспечение. Хакерам легче создавать эксплойты для программ, которые производитель больше не поддерживает.
  • Используйте современные антивирусные инструменты с функциями машинного обучения, обнаружения поведенческих факторов и защиты от эксплойтов. Такие функции помогут вашим средствам кибербезопасности остановить угрозы с неизвестными сигнатурами.
  • В компаниях:
    • Обучите сотрудников распознавать атаки социальной инженерии, такие как фишинг копьем, которые хакеры могут использовать в качестве вектора атаки.
    • Применяйте решения Endpoint Detection and Response (EDR) для мониторинга и защиты конечных точек.
    • Усильте сетевую безопасность с помощью брандмауэров, частных VPN и IPsec.
    • Разделяйте сети с помощью надежных средств контроля доступа.

Новости о нулевых днях