“Нулевой день” – это свободный термин для недавно обнаруженной уязвимости или эксплойта для уязвимости, которую хакеры могут использовать для атаки систем. Эти угрозы невероятно опасны, потому что только злоумышленник знает об их существовании. Эксплойты могут годами оставаться незамеченными и часто продаются на черном рынке за большие суммы денег.
Эксплойты получают значение “нулевого дня” тогда (в тот день), когда поставщику становится известно о существовании эксплойта (уязвимости), где “ноль” означает количество дней, прошедших с момента обнаружения этой уязвимости продавцом.
Как обнаружить атаку нулевого дня?
Атаки нулевого дня, по определению, очень трудно обнаружить, но появилось несколько стратегий:
- Обнаружение на основе статистики. Здесь используется машинное обучение для сбора данных из ранее обнаруженных эксплойтов и создается база для безопасности системы. Хотя этот метод имеет ограниченную эффективность и подвержен ложным срабатываниям, он может хорошо работать в гибридном решении.
- Обнаружение на основе сигнатур. Этот метод использует существующие базы данных вредоносных программ и их поведение в качестве справочной информации при проверке на наличие угроз. После использования машинного обучения для анализа и создания сигнатур существующих вредоносных программ, можно использовать сигнатуры для обнаружения ранее неизвестных уязвимостей или атак.
- Обнаружение на основе поведения. С помощью этого метода можно обнаружить вредоносные программы, основываясь на их взаимодействии с целевой системой. Вместо того, чтобы просматривать код входящих файлов, система анализирует свои взаимодействия с существующим программным обеспечением, чтобы предсказать, является ли это результатом вредоносной атаки.
- Гибридное обнаружение. Оно сочетает в себе три вышеописанные методики, чтобы воспользоваться их сильными сторонами и в то же время исключить их слабые стороны.
Способы восстановления после уязвимостей нулевого дня
Предотвратить атаки “нулевого дня” практически невозможно, т.к. их существование может оставаться незамеченным даже после того, как уязвимость будет использована. Тем не менее, новые технологии и методы могут обеспечить некоторый уровень защиты от этих угроз. Выполните следующие шаги для уменьшения ущерба после обнаружения эксплойта.
CTR
CTR – это технология защиты на основе обнаружения, которая перехватывает данные на пути к месту назначения. Она предполагает, что все данные являются враждебными и предотвращает их прямую доставку, допуская только определенную информацию, которая была разрешена. Использование данных в этой новой форме помогает обеспечить их безопасность, поскольку CTR отбрасывает любые потенциально опасные элементы исходных данных.
Стратегия аварийного восстановления
Если вы подверглись атаке “нулевого дня”, очень важно иметь комплексную стратегию аварийного восстановления для уменьшения ущерба. Стратегия включает в себя сочетание локального и облачного хранилищ для резервного копирования данных.
Удаление доступа
Одним из наиболее распространенных методов восстановления после атак нулевого дня является физическое (или через сетевой брандмауэр) удаление всего доступа у любого, кто имел возможность его использовать. Например, если ваш сайт был уязвим для эксплойта нулевого дня, и предоставлял полный доступ на чтение/запись, то одним из способов будет отключение сайта до той поры, пока не будет выпущен патч.
На видео: Что такое уязвимость нулевого дня – понятным языком.
