Нулевой день
В кибербезопасности есть термин, который вселяет наибольший страх в сердца защитников, — это нулевой день (или 0-день), эксплойт или атака, которые ранее были неизвестны и с которыми защитники еще не научились бороться. Термин подразумевает, что этот вид атаки известен в течение нуля дней. Поскольку жертвы и защитники не имели возможности изучить угрозу, злоумышленник, использующий атаку нулевого дня, нацеленную на широко применяемую технологию, почти всегда добивается успеха.
Например, в STUXNET использовались четыре эксплойта нулевого дня, чтобы саботировать работу ядерного обогатительного завода в Иране. Этот случай показал силу нулевого дня в нападении даже на самые безопасные и защищенные объекты [48].
Атака нулевого дня ценна тем, что о ней никто ничего не знает. Как только злоумышленник использует ее, жертва может найти доказательства атаки с помощью датчиков и систем мониторинга, провести экспертизу доказательств и проанализировать атаку. Когда она будет раскрыта, специалисты по безопасности смогут разработать меры по снижению рисков, сигнатуры обнаружения и исправления, а также опубликуют номера CVE, чтобы поделиться информацией с сообществом. Не все обращают внимание на такие рекомендации и исправляют свои системы, но все равно атака нулевого дня будет со временем терять эффективность.
Атаки нулевого дня реализуются по-разному в зависимости от мотивов злоумышленника. Киберпреступники, которым нужно быстро добиться результата, могут использовать уязвимость нулевого дня в масштабной и хорошо заметной атаке, получив максимум выгоды здесь и сейчас. Более продвинутые злодеи устанавливают процедуры удаления артефактов, журналов и других наблюдаемых свидетельств атаки нулевого дня, продлевая срок ее существования.
По-настоящему изощренные злоумышленники прибегают к уязвимостям нулевого дня для атаки на надежно защищенные ценные цели, поскольку при нападении на обычные цели секрет атаки может быть продан киберпреступниками на черном рынке за тысячи или даже миллионы долларов правительствам, которые хотят разработать методы защиты.
Некоторые атаки нулевого дня порождаются существующими пробелами в безопасности программного кода, но иногда злоумышленники могут нарочно вводить уязвимости нулевого дня в исходный код программного приложения посредством соглашений или использования скрытых человеческих ресурсов. Под прицел такой атаки могут попасть программные библиотеки, оборудование или компиляторы, в которых появляются ошибки, бэкдоры и другие скрытые уязвимости. Точно так же ниндзя, присоединяющийся к строителям, работающим на возведении замка, может поставить под угрозу проект, создав секретные входы, о которых знает только он (подобные случаи упоминаются в трактатах) [5].
Обычно уязвимости нулевого дня раскрывают исследователи безопасности с большим опытом изучения кода, охотники за угрозами или аналитики, случайно обнаружившие эксплойт, использованный против них. Хотя уязвимости нулевого дня все еще работают, последние технологии, такие как фаззинг, помогли автоматизировать их обнаружение. Фаззеры и подобные инструменты автоматически пробуют применять различные входные данные (случайные, недействительные и неожиданные), пытаясь обнаружить ранее неизвестные уязвимости системы. Появление фаззеров и систем защиты на основе искусственного интеллекта (ИИ) говорит о появлении новой парадигмы. Подобно тому как изобретение пушки, которая могла пробивать стены замка, заставило менять стратегии защиты, ИИ позволяет рассчитывать на то, что защита когда-нибудь начнет развиваться столь же быстро, как и угрозы. Конечно, системы атаки тоже могут научиться преодолевать любые защитные барьеры, изменяя не только защиту от атак нулевого дня, но и взгляд на кибербезопасность в целом.
А пока модель использования пробелов в защите и обнаружения атак циклична. Злоумышленники выявляют различные эксплойты и уязвимости, такие как SQL-инъекции, XSS или утечки памяти. Постепенно защитники вырабатывают методы борьбы с этими угрозами, а злоумышленники начинают использовать другие способы и технологии, и цикл продолжается. По прошествии времени, когда защитники и злоумышленники уволятся, новое поколение злоумышленников вновь обнаружит те же самые распространенные слабости в новом программном обеспечении и технологиях, что приведет к возрождению старых нулевых дней - цикл начнется заново.
