В среднем для обнаружения эксплойта нулевого дня требуется семь лет. Это означает, что злоумышленники могут шпионить за предприятиями и организациями через бреши в системе безопасности их приложений в течение семи лет. Экономический ущерб, который это может принести, огромен.
Это делает еще более важным для предприятий серьезное отношение к своей ИТ-безопасности и принятие мер по защите от таких атак.
Что такое эксплойт нулевого дня?
Термин «эксплойт нулевого дня» основан на том, что у предприятия есть ноль дней на устранение бреши в системе безопасности, прежде чем она станет опасной, поскольку обычно компания замечает слабое место в своем программном обеспечении только после того, как ущерб уже нанесен. Злоумышленники уже обнаружили и использовали брешь в системе безопасности задолго до ее обнаружения, чтобы установить шпионское или вредоносное ПО с помощью руткитов, троянских программ и других инструментов.
Эксплойты нулевого дня — это хакерские атаки, при которых злоумышленники используют брешь в безопасности программного обеспечения до того, как предприятия распознают ее и получат шанс запрограммировать заплатку для слабых мест.
Хронология эксплойта нулевого дня:
- Разработчик программирует программное обеспечение и пишет код, который непреднамеренно содержит слабое место (уязвимость нулевого дня), через которое злоумышленники могут получить информацию или манипулировать системами.
- Злоумышленник находит слабую точку до того, как она становится очевидной для компании. Вместо того чтобы уведомить компанию об ошибке, хакер пишет код (называемый эксплойтом), чтобы воспользоваться брешью. Хакер может не использовать код сам, а продать его на черном рынке, где за него можно получить до нескольких тысяч долларов.
- Компания узнает об эксплойте нулевого дня случайно, по отзывам клиентов или из сообщения об ущербе. Только теперь разработчики могут создать патч безопасности, чтобы закрыть брешь. Но ущерб (скорее всего) уже нанесен.
Кто больше всего подвержен риску?
Шлюзами для эксплойтов в основном являются приложения крупных цифровых компаний, таких как Google, Apple и Microsoft. Microsoft, в частности, является распространенной мишенью для атак нулевого дня. Это означает, что в зоне риска находятся практически все компании, использующие программное обеспечение этих поставщиков.
Риск стать жертвой эксплойта нулевого дня возрастает для компаний по мере того, как они становятся более успешными, поскольку они легче привлекают внимание киберпреступников. Однако малые предприятия в очень конкурентных отраслях могут стать жертвами эксплойтов, которые регулярно используются в промышленном шпионаже.
С 2014 года Google ведет список крупнейших известных эксплойтов нулевого дня. В списке «0day — in the Wild» можно найти эксплойты Microsoft, Apple, Facebook, Adobe, Mozilla и многих других компаний.
Что делает эксплойт нулевого дня особенно опасным?
Кибератаки «нулевого дня» особенно опасны, поскольку хакеры имеют преимущество во времени перед своей жертвой. Могут пройти месяцы и годы, пока злоумышленники будут шпионить за компаниями и оставаться незамеченными.
Антивирусное программное обеспечение не распознает эти эксплойты, потому что шаблоны атак неизвестны и поэтому отсутствуют в базе данных. Когда слабое место наконец найдено, пострадавшие компании не могут немедленно отреагировать, а вынуждены ждать, пока разработчики опубликуют патч безопасности для пострадавшего программного обеспечения. Только после установки этого патча безопасность восстанавливается.
Если производитель программного обеспечения публикует патч, который по какой-либо причине не устанавливается компанией, брешь в безопасности сохраняется.
Помимо черного рынка, некоторые хакеры предлагают производителям программного обеспечения эксплойты нулевого дня на продажу, чтобы те могли защитить свои продукты.
Как компании могут эффективно защитить себя от эксплойтов нулевого дня?
Защититься от эксплойтов нулевого дня сложно, но меры безопасности могут свести к минимуму вероятность того, что они нанесут ущерб, даже если атака все-таки произойдет.
Хотя традиционное антивирусное программное обеспечение неэффективно против эксплойтов нулевого дня из-за неизвестной сигнатуры вируса, эффективную помощь могут оказать решения безопасности, основанные на поведении. Системы обнаружения вторжений (IDS) и системы предотвращения вторжений (IPS) с помощью алгоритмов и эвристики отслеживают перемещение данных и доступ к ним в компании и выдают предупреждающие сигналы при обнаружении аномалий. Некоторые из них автоматически принимают контрмеры.
Предприятия могут снизить опасность неправомерного использования данных путем внедрения шифрования, систем авторизации и проверок.
Поскольку любое программное обеспечение может стать целью атаки с использованием эксплойтов, количество установленных приложений должно быть минимальным. Компании должны всегда использовать самую актуальную версию программного обеспечения и регулярно обновлять программное обеспечение (включая доступные обновления безопасности). Приложения, которые не используются, должны быть удалены с компьютеров.
Эти меры не могут предотвратить атаку, но они могут значительно снизить риск понести финансовый ущерб в результате использования эксплойта нулевого дня.