Co je zranitelnost nultého dne?
Zranitelnost nultého dne je bezpečnostní chyba v softwaru, kterou výrobce nebo vývojář právě objevil, takže neměli čas vytvořit nebo vydat opravu. Protože zatím neexistuje žádná oprava, mohou kyberzločinci využít těchto chyb k zahájení útoků, které je těžké odhalit a zastavit.
Například útok ransomware WannaCry v květnu 2017 ukázal, jak škodlivé mohou být zranitelnosti nultého dne. Tento celosvětový útok zasáhl více než 200 000 počítačů ve 150 zemích tím, že využil chybu ve Windows, než mnoho organizací mohlo aktualizovat své systémy.
Klíčové charakteristiky zranitelnosti nultého dne
- Neznámá pro výrobce: Tvůrce softwaru si není vědom existence chyby, dokud nedojde k útoku nebo ji neodhalí výzkumníci.
- Žádná dostupná oprava: V době objevení neexistuje žádná oficiální bezpečnostní aktualizace nebo „oprava“.
- Vysoké riziko: Běžné antivirové nástroje, které používají známé podpisy hrozeb, často přehlížejí exploity nultého dne, protože tyto hrozby jsou nové a neznámé.
- Okamžitá hrozba: Útočníci mají jasnou výhodu, dokud není vydána a aplikována oprava.
Jak funguje útok nultého dne
Hrozba nultého dne obvykle následuje časovou osu nazývanou ‘Okno zranitelnosti.’
- Zranitelnost Zavedena: Vývojář neúmyslně napíše kód obsahující bezpečnostní chybu (např. přetečení bufferu nebo SQL injection mezeru).
- Vytvoření Exploitu: Útočník najde chybu dříve, než si jí všimne dodavatel nebo bezpečnostní výzkumníci. Poté vytvoří ‘Zero Day Exploit’, což je kód určený k využití této slabiny.
- Zahájení Útoku: Útočník použije ‘Zero Day Attack’ na určité cíle nebo dokonce po celém internetu. V tomto bodě standardní bezpečnostní skeny často nedokážou útok rozpoznat.
- Objevení a Zveřejnění: Dodavatel se nakonec o chybě dozví, buď prostřednictvím programu odměn, bezpečnostního výzkumníka, nebo detekcí aktivního útoku.
- Vydání Záplaty: Dodavatel vyvine a distribuuje bezpečnostní aktualizaci. Jakmile je záplata k dispozici, chyba již není „zero day“, ale stává se „známou zranitelností“ (často přidělené číslo CVE).
Proč Zero-Day Zranitelnosti Záleží v Kybernetické Bezpečnosti
Zero-day zranitelnosti patří mezi nejzávažnější rizika pro organizace, protože obcházejí hlavní obranu, kterou je správa záplat.
- Obcházení obran: Protože nástroje pro zabezpečení starší generace spoléhají na databáze známých hrozeb, útoky typu zero-day mohou proklouznout přes firewally a ochranu koncových bodů bez povšimnutí.
- Vysoká hodnota: Tyto exploity mají na dark webu vysokou hodnotu. Hackeři podporovaní státem a skupiny pokročilých trvalých hrozeb (APT) je často uchovávají pro použití proti důležitým cílům, jako je kritická infrastruktura nebo vládní sítě.
- Provozní dopad: Oprava zero-day často znamená nouzové odstávky, použití manuálních řešení nebo dokonce vypnutí systémů, dokud nebude připravena záplata.
Zero Day vs. Známé zranitelnosti
| Vlastnost | Zranitelnost Zero Day | Známá zranitelnost (N-Day) |
|---|---|---|
| Stav | Neznámá pro dodavatele/veřejnost | Veřejně zveřejněná |
| Dostupnost záplaty | Žádná | Záplata existuje (ale nemusí být aplikována) |
| Detekce | Obtížná (vyžaduje analýzu chování) | Snadná (detekce na základě signatur) |
| Úroveň rizika | Kritická / Závažná | Proměnlivá (závisí na stavu záplaty) |
Související pojmy
- Exploit Prediction Scoring System (EPSS)
- Common Vulnerabilities and Exposures (CVE)
- Static Application Security Testing (SAST)
- Dynamic Application Security Testing (DAST)
FAQ: Zranitelnost Zero-Day
Q: Jaký je rozdíl mezi zranitelností typu zero-day a exploitací typu zero-day?
Zranitelnost je chyba v samotném softwarovém kódu. Exploit je skutečný kód nebo technika, kterou útočníci používají k využití chyby a narušení systému.
Q: Jak se mohu chránit před útoky typu zero-day, pokud neexistuje žádná záplata?
Protože nemůžete opravit to, o čem nevíte, ochrana závisí na použití více vrstev obrany:
- Používejte Web Application Firewalls (WAF) k blokování podezřelých vzorců provozu.
- Implementujte Runtime Application Self-Protection (RASP).
- Používejte behaviorální analýzu místo pouze detekce založené na signaturách.
- Udržujte přísný plán reakce na incidenty, abyste mohli rychle reagovat, jakmile je zranitelnost typu zero-day zveřejněna.
Q: Může antivirový software detekovat útoky typu zero-day?
Tradiční antivirový software, který používá pouze ‘signatury’ (které jsou jako otisky prstů známého malwaru), nemůže najít hrozby typu zero-day. Moderní nástroje pro detekci a reakci na koncové body (EDR), které používají AI a sledují neobvyklé chování, však mohou často odhalit útoky typu zero-day, jako je neočekávané šifrování souborů nebo neoprávněné přenosy dat.