Любая атака, которая использует преимущества «окна возможностей» в результате недавно обнаруженных уязвимостей, — называется атакой нулевого дня. Другими словами, речь идет об оперативно выполняемой атаке, которая осуществляется кибер-преступниками раньше, чем эксперты безопасности смогут устранить данную уязвимость… или даже прежде, чем они узнают о данной атаке.
Любая атака такого типа – это мечта любого хакера, т.к. она гарантирует мгновенную славу (иногда эти уязвимости распространяются в «теневом Интернете»), при этом такие атаки известны своей деструктивностью (особенно, когда она используется хакером для собственной выгоды). Также такие атаки являются полезным инструментом для правительств ряда стран, которые пытаются нарушить работу иностранных систем или предприятий.
Путь поиска «нулевых дней»
Защита от подобных атак настолько важна, что крупные технологические компании используют собственные команды хакеров, которые стараются обнаружить и исследовать уязвимости «нулевого дня» раньше, чем кибер-преступники воспользуются ими.
Назначение таких команд – разработка соответствующих патчей, а также информирование поставщика уязвимого программного обеспечения. Например, Google имеет свою собственную команду хакеров под названием Project Zero, возглавляемую Крисом Эвансом, в составе которой присутствуют и другие хорошо известные хакеры, такие как Джордж Хотц (обладатель крупнейшего за всю истории приза за обнаружение уязвимости), Тэвис Орманди, Бен Хокс и Брит Ян Биир. Другие компании, такие как Endgame Systems, Revuln, VUPEN Security, Netragard или Exodus Intelligence также ведут активную работу по обнаружению подобных угроз.
Важно иметь ввиду еще один аспект, связанный с уязвимостями нулевого дня. Если хакеры, обнаружившие уязвимость, решили не распространять о ней информацию и выбрали более дискретный способ ее использования, то пользователи могут неделями, месяцами или даже годами подвергаться риску со стороны этих неизвестных уязвимостей (это и есть так называемые постоянные угрозы повышенной сложности – APT или Advanced Persistent Threats).
Как защититься от атак нулевого дня
Как уже упоминалось выше, очень сложно определить, откуда может исходить опасность таких атак нулевого дня. Невозможно просто сделать вакцину от них. Мы можем знать о существовании таких атак, но мы не знаем, чем они вызваны. Поэтому традиционные инструменты безопасности (например, антивирус) не способны бороться с потенциальными вредоносными программами, которые до сих пор не идентифицированы.
Впрочем, существуют определенные действия и меры, которые могли бы нам помочь снизить разрушительное воздействие атак нулевого дня.
• Никогда не устанавливайте лишние программы: каждая программа, установленная в Вашей системе, — это окно для проникновения потенциальных атак нулевого дня. Рекомендуется периодически просматривать список установленных программ и удалять те, которые Вы больше не используете.
• Не забывайте про обновления: имеющееся у Вас программное обеспечение всегда должно быть обновлено до последней версии.
• Используйте надежный файервол: если невозможно обнаружить вредоносную программу, которая проникает с использованием неизвестной уязвимости, то, может быть, Вы сможете обнаружить подозрительное соединение и блокировать его, пока это еще не поздно.
Однако, если пойти дальше, то очень важно, чтобы наши системы имели дополнительный защитный барьер, который не зависит от сигнатурной технологии обнаружения вредоносного программного обеспечения. Принимая во внимание данный факт, Panda Security разработала Adaptive Defense 360, который основан на различных подходах: мониторинг каждого приложения и анализ их поведения в режиме реального времени с помощью техник машинного обучения и платформ Больших данных.
Все это позволяет Adaptive Defense 360 предложить два типа блокировки:
• Основной режим блокировки, который допускает запуск как программного обеспечения, помеченного как goodware (невредоносное ПО), так и приложений, которые еще не были каталогизированы автоматизированными системами и экспертами Panda Security.
• Расширенный режим блокировки, который допускает только запуск тех приложений, которые отмечены как goodware.
