ما هي الثغرة الأمنية “زيرو داي”؟

الثغرة الأمنية “زيرو داي” هي خلل في أمان البرمجيات اكتشفه البائع أو المطور للتو، لذلك لم يكن لديهم الوقت لإنشاء أو إصدار تصحيح. نظرًا لعدم وجود إصلاح بعد، يمكن للمجرمين الإلكترونيين استغلال هذه الثغرات لشن هجمات يصعب اكتشافها وإيقافها.

على سبيل المثال، أظهر هجوم الفدية “واناكراي” في مايو 2017 مدى الضرر الذي يمكن أن تسببه الثغرات الأمنية “زيرو داي”. هذا الهجوم العالمي أصاب أكثر من 200,000 جهاز كمبيوتر في 150 دولة باستخدام خلل في نظام ويندوز قبل أن تتمكن العديد من المؤسسات من تحديث أنظمتها.

الخصائص الرئيسية للثغرة “زيرو داي”

• غير معروفة للبائع: لا يكون منشئ البرمجيات على علم بوجود الخلل حتى يحدث هجوم أو يتم الكشف عنه من قبل الباحثين.
• لا يوجد تصحيح متاح: لا يوجد تحديث أمني رسمي أو “إصلاح” في وقت الاكتشاف.
• مخاطر عالية: أدوات مكافحة الفيروسات العادية التي تستخدم توقيعات التهديد المعروفة غالبًا ما تفشل في اكتشاف استغلالات “زيرو داي” لأن هذه التهديدات جديدة وغير معروفة.
• تهديد فوري: يتمتع المهاجمون بميزة واضحة حتى يتم إصدار التصحيح وتطبيقه.

كيف يعمل هجوم “زيرو داي”

عادةً ما يتبع تهديد “زيرو داي” جدولًا زمنيًا يسمى “نافذة الضعف”.

1. الضعف المُدخل: يكتب مطور عن غير قصد كود يحتوي على خلل أمني (مثل تجاوز المخزن المؤقت أو فجوة حقن SQL).
2. إنشاء الاستغلال: يجد المهاجم الخلل قبل أن يلاحظه البائع أو الباحثون الأمنيون. ثم يقومون بإنشاء “استغلال اليوم الصفري” وهو كود مصمم لاستخدام هذا الضعف.
3. شن الهجوم: يستخدم المهاجم “هجوم اليوم الصفري” على أهداف معينة أو حتى عبر الإنترنت. في هذه المرحلة، غالبًا ما لا تستطيع عمليات الفحص الأمني القياسية رؤية الهجوم.
4. الاكتشاف والإفصاح: يتعلم البائع في النهاية عن الخلل، إما من خلال برنامج المكافآت، أو باحث أمني، أو عن طريق اكتشاف هجوم نشط.
5. إصدار التصحيح: يقوم البائع بتطوير وتوزيع تحديث أمني. بمجرد توفر التصحيح، لم يعد الخلل “يوم صفري” ولكنه يصبح “ضعف معروف” (غالبًا ما يتم تعيين رقم CVE له).

لماذا تهم الثغرات الأمنية ليوم الصفري في الأمن السيبراني

تعتبر الثغرات الأمنية ليوم الصفري من بين أخطر المخاطر على المؤسسات لأنها تتجاوز الدفاع الرئيسي، وهو إدارة التصحيحات.

• تجاوز الدفاعات: نظرًا لأن أدوات الأمان القديمة تعتمد على قواعد بيانات التهديدات المعروفة، يمكن للهجمات الجديدة (Zero-Day) أن تمر عبر الجدران النارية وحماية النقاط النهائية دون أن تُلاحظ.
• قيمة عالية: هذه الاستغلالات ذات قيمة كبيرة في الشبكة المظلمة. غالبًا ما يحتفظ بها قراصنة الدول والمجموعات المتقدمة للتهديد المستمر (APT) لاستخدامها ضد أهداف مهمة مثل البنية التحتية الحيوية أو شبكات الحكومة.
• التأثير التشغيلي: إصلاح الثغرة الجديدة غالبًا ما يعني توقفًا طارئًا، استخدام حلول يدوية، أو حتى إيقاف الأنظمة حتى يكون التصحيح جاهزًا.

الثغرات الجديدة مقابل الثغرات المعروفة

الميزة	ثغرة جديدة (Zero Day)	ثغرة معروفة (N-Day)
الحالة	غير معروفة للبائع/العامة	معلنة للجمهور
توفر التصحيح	لا يوجد	التصحيح موجود (ولكن قد لا يكون مطبقًا)
الكشف	صعب (يتطلب تحليل سلوكي)	سهل (الكشف القائم على التوقيع)
مستوى الخطر	حرج / شديد	متغير (يعتمد على حالة التصحيح)

المصطلحات ذات الصلة

• نظام تسجيل توقعات الاستغلال (EPSS)
• الثغرات والتعرضات المشتركة (CVE)
• اختبار أمان التطبيقات الثابتة (SAST)
• اختبار أمان التطبيقات الديناميكية (DAST)

الأسئلة الشائعة: ثغرة جديدة (Zero-Day)

س: ما الفرق بين ثغرة اليوم الصفري واستغلال اليوم الصفري؟

الثغرة هي خلل في كود البرنامج نفسه. أما الاستغلال فهو الكود الفعلي أو التقنية التي يستخدمها المهاجمون لاستغلال الخلل واختراق النظام.

س: كيف يمكنني الحماية من هجمات اليوم الصفري إذا لم يكن هناك تصحيح؟

لأنك لا تستطيع تصحيح ما لا تعرفه، تعتمد الحماية على استخدام طبقات متعددة من الدفاع:

• استخدم جدران حماية تطبيقات الويب (WAF) لحجب أنماط المرور المشبوهة.
• قم بتطبيق الحماية الذاتية لتطبيقات وقت التشغيل (RASP).
• استخدم تحليل السلوك بدلاً من الاكتشاف القائم على التوقيع فقط.
• حافظ على خطة استجابة صارمة للحوادث لتتمكن من الرد بسرعة بمجرد الكشف عن ثغرة اليوم الصفري.

س: هل يمكن لبرامج مكافحة الفيروسات اكتشاف هجمات اليوم الصفري؟

برامج مكافحة الفيروسات التقليدية التي تستخدم فقط “التوقيعات” (وهي مثل بصمات الأصابع للبرامج الضارة المعروفة) لا يمكنها العثور على تهديدات اليوم الصفري. ومع ذلك، يمكن لأدوات الكشف والاستجابة للنقاط النهائية الحديثة (EDR) التي تستخدم الذكاء الاصطناعي وتراقب السلوك غير المعتاد أن تكتشف غالبًا هجمات اليوم الصفري، مثل تشفير الملفات غير المتوقع أو نقل البيانات غير المصرح به.