«Нулевой день» — одно из самых используемых и наименее понимаемых слов в безопасности. Оно описывает конкретную, опасную ситуацию — и само название объясняет почему.
Что означает название
Уязвимость — это изъян в ПО, который можно использовать во вред. Большинство уязвимостей находят, сообщают о них и исправляют обновлением до того, как они причинят широкий вред. Уязвимость нулевого дня иная: это уязвимость, о которой создатель ПО ещё не знает. «Ноль дней» относится к времени, которое было у защищающихся на исправление — никакого. Изъян реален, он может использоваться злоумышленниками, и патча нет, потому что люди, которые написали бы патч, не знают, что есть что патчить.
Почему эта фора опасна
Опасность уязвимости нулевого дня полностью о времени. Обычно у защиты есть шанс действовать первой — изъян находят ответственно, патч выходит, пользователи обновляются. Уязвимость нулевого дня убирает этот шанс. Злоумышленники, обнаружившие или купившие изъян, могут использовать его, пока все остальные ещё не в курсе. Есть окно, где уязвимость полностью эксплуатируема и ничто не защищает именно от неё. Уязвимости нулевого дня ценны именно по этой причине, и для них есть рынок.
Связь с античитами и драйверами
Уязвимости нулевого дня важны для всего, что выполняет привилегированный код, включая драйверы ядра, которые устанавливают античиты. Уязвимость нулевого дня в широко развёрнутом драйвере — серьёзное дело, потому что тот драйвер работает на самом мощном уровне системы. Это часть того, почему «больше привилегированного кода на миллионах ПК» — настоящая забота безопасности: каждый такой компонент — место, где уязвимость нулевого дня однажды может быть найдена.
Как снизить уязвимость
Вы не можете запатчить изъян, о котором никто не знает, но вы можете сократить окно. Применяйте обновления незамедлительно — в момент, когда уязвимость нулевого дня становится известна, гонка в том, чтобы запатчить до того, как злоумышленники доберутся до вас, и привычка быстро обновляться выигрывает эту гонку. Сократите, сколько привилегированного и ненужного ПО вы запускаете, поскольку каждая часть — потенциальная уязвимость. И полагайтесь на эшелонированную безопасность, чтобы один изъян не был единой точкой отказа.
Вывод
Уязвимость нулевого дня — это уязвимость, о которой защищающиеся ещё не знают, поэтому патча не существует, а у злоумышленников фора. Её опасность — время. Вы не можете предотвратить уязвимости нулевого дня, но незамедлительное обновление и меньший след привилегированного ПО — это то, что сокращает окно, в котором они живут.