В последнее время тема уязвимостей «нулевого дня» (zero-day, или 0-day) снова становится актуальной. Всё потому, что с этими «брешами» в защите, обнаруженными уже после всех стадий разработки и тестирования, анализа уязвимостей и ошибок в программном коде, действительно трудно бороться – даже «гигантам» рынка киберзащиты. А небольшим компаниям-разработчикам – тем более. Для поставщиков инструментария и тем более заказчиков важна одна особенность таких угроз: на тот момент, когда о наличии той или иной уязвимости становится известно, отсутствует какое-либо реальное решение по защите от нее.

Итак, термин «нулевой день» в реальном мире бизнеса означает, что у разработчика программного обеспечения или сервиса есть «0 дней» на устранение обнаруженной уязвимости. А решения – нет.

Пожалуй, главную опасность представляют 0-day уязвимости с высоким рейтингом CVSS (Common Vulnerability Scoring System): в особенности те, что позволяют злоумышленникам удаленно «выполнять» код. Эксплуатация таких 0-day рисков может привести к серьезным последствиям для любых организаций, использующих уязвимые программы и сервисы. Взяв в оборот такие «легкомысленно работающие» программы (а это почти все), компании и организации могут подвергаться скрытым атакам с использованием «0-day прорех» на протяжении длительного времени: до тех пор, пока разработчикам не станет известно о том, что ПО «хакнуто». А выясняется это, как правило, – поздно. Ведь даже при наличии нужных, «собранных в кулак» кадров в большинстве компаний нет слаженных команд, профессионального мощного ресурса!

При этом надо понимать, что процесс обнаружения уязвимости, ставшей причиной конкретной атаки, ее исправление, выпуск и установка патчей и обновлений, может занять дни, недели или даже месяцы. Соответственно, на протяжении всего этого времени пользователи программ и сервисов, содержащих 0-day уязвимости, не будут защищены. Практика показывает, что наибольшему риску в этом плане подвержены именно крупные организации, эксплуатирующие большое количество программных сервисов, но все еще не приведшие к общему знаменателю свои комплексные системы ИТ и ИБ.

Интересно, что в рамках соревнования хакеров Pwn2Own, прошедшего в марте 2024 года, было обнаружено 29 уязвимостей «нулевого дня»: в том числе, в таких популярных продуктах, как Windows, Ubuntu, Firefox и Chrome, а также в ПО для Tesla Model 3. Да, разработчиками были предприняты оперативные меры по устранению отдельных обнаруженных уязвимостей, выпущены соответствующие патчи и обновления. В частности, Mozilla выпустила патчи для Firefox в кратчайшие сроки – буквально за пару дней. Но тут и пару дней – много.

Для российских компаний эта проблема, я думаю, представляет колоссальную опасность: ведь сегодня мы не имеем возможности устанавливать все обновления, выпускаемые западными вендорами ПО. Значит, пока нам нужно сосредоточиться на том, чтобы ставить реальные заслоны на уровне сети, дабы не дать возможности хакерам «пролезть» в системное ПО как минимум глобальных структур (в подавляющем большинстве случаев – «дырявое», стоящее «на службе» нашего крупного бизнеса и экономики в целом). И, конечно, – развивать на уровне государства и коммерческих компаний глобальную цифровую инфраструктуру на стыке ИТ и кибербезопасности.

Фото: личный архив Олега Логвинова