Hvad er en Zero-Day Sårbarhed?
En zero-day sårbarhed er en software sikkerhedsfejl, som leverandøren eller udvikleren lige har opdaget, så de har ikke haft tid til at skabe eller udgive en patch. Da der endnu ikke er nogen løsning, kan cyberkriminelle udnytte disse fejl til at iværksætte angreb, der er svære at opdage og stoppe.
For eksempel viste WannaCry ransomware-angrebet i maj 2017, hvor skadelige zero-day sårbarheder kan være. Dette verdensomspændende angreb ramte mere end 200.000 computere i 150 lande ved at udnytte en Windows-fejl, før mange organisationer kunne opdatere deres systemer.
Nøglekarakteristika ved en Zero Day
- Ukendt for Leverandøren: Softwareudvikleren er uvidende om, at fejlen eksisterer, indtil et angreb sker, eller det afsløres af forskere.
- Ingen Patch Tilgængelig: Der er ingen officiel sikkerhedsopdatering eller “løsning” på opdagelsestidspunktet.
- Høj Risiko: Almindelige antivirusværktøjer, der bruger kendte trusselsignaturer, overser ofte zero-day udnyttelser, fordi disse trusler er nye og ukendte.
- Umiddelbar Trussel: Angribere har en klar fordel, indtil en patch er udgivet og anvendt.
Hvordan et Zero-Day Angreb Fungerer
En zero-day trussel følger normalt en tidslinje kaldet ‘Sårbarhedsvinduet.’
- Sårbarhed Introduceret: En udvikler skriver utilsigtet kode, der indeholder en sikkerhedsfejl (f.eks. en buffer overflow eller SQL-injektion hul).
- Udnyttelse Skabt: En angriber finder fejlen, før leverandøren eller sikkerhedsforskere opdager den. De skaber derefter en ‘Zero Day Exploit’, som er kode lavet til at udnytte denne svaghed.
- Angreb Iværksat: Angriberen bruger et ‘Zero Day Attack’ på bestemte mål eller endda over internettet. På dette tidspunkt kan standard sikkerhedsscanninger ofte ikke opdage angrebet.
- Opdagelse & Offentliggørelse: Leverandøren lærer til sidst om fejlen, enten gennem et bounty-program, en sikkerhedsforsker eller ved at opdage et aktivt angreb.
- Patch Udgivet: Leverandøren udvikler og distribuerer en sikkerhedsopdatering. Når patchen er tilgængelig, er fejlen ikke længere en “zero day”, men bliver en “kendt sårbarhed” (ofte tildelt et CVE-nummer).
Hvorfor Zero-Day Sårbarheder Er Vigtige i Cybersikkerhed
Zero-day sårbarheder er blandt de mest alvorlige risici for organisationer, fordi de omgår den primære forsvarslinje, som er patch management.
- Omgåelse af forsvar: Fordi ældre sikkerhedsværktøjer er afhængige af kendte trusselsdatabaser, kan zero-day angreb slippe gennem firewalls og endpoint-beskyttelse ubemærket.
- Høj værdi: Disse udnyttelser er meget værdifulde på det mørke web. Statslige hackere og avancerede vedvarende trussel (APT) grupper beholder dem ofte til brug mod vigtige mål som kritisk infrastruktur eller regeringsnetværk.
- Operationel påvirkning: At rette en zero-day betyder ofte nødstop, brug af manuelle løsninger eller endda at tage systemer offline, indtil en patch er klar.
Zero Day vs. Kendte Sårbarheder
| Funktion | Zero Day Sårbarhed | Kendt Sårbarhed (N-Day) |
|---|---|---|
| Status | Ukendt for leverandør/offentligheden | Offentligt afsløret |
| Patch Tilgængelighed | Ingen | Patch eksisterer (men er muligvis ikke anvendt) |
| Detektion | Svær (kræver adfærdsanalyse) | Let (signaturbaseret detektion) |
| Risikograd | Kritisk / Alvorlig | Variabel (afhænger af patch-status) |
Relaterede Termer
- Exploit Prediction Scoring System (EPSS)
- Common Vulnerabilities and Exposures (CVE)
- Static Application Security Testing (SAST)
- Dynamic Application Security Testing (DAST)
FAQ: Zero-Day Sårbarhed
Q: Hvad er forskellen mellem en zero-day sårbarhed og en zero-day udnyttelse?
Sårbarheden er en fejl i selve softwarekoden. Udnyttelsen er den faktiske kode eller teknik, som angribere bruger til at udnytte en fejl og bryde ind i et system.
Q: Hvordan kan jeg beskytte mig mod zero-day angreb, hvis der ikke er nogen patch?
Fordi du ikke kan patche, hvad du ikke kender til, afhænger beskyttelsen af at bruge flere lag af forsvar:
- Brug Web Application Firewalls (WAF) til at blokere mistænkelige trafikmønstre.
- Implementer Runtime Application Self-Protection (RASP).
- Anvend adfærdsanalyse i stedet for kun signaturbaseret detektion.
- Oprethold en streng hændelsesresponsplan for at reagere hurtigt, når en zero-day bliver afsløret.
Q: Kan antivirussoftware opdage zero-day angreb?
Traditionel antivirussoftware, der kun bruger ‘signaturer’ (som er som fingeraftryk af kendt malware), kan ikke finde zero-day trusler. Dog kan moderne Endpoint Detection and Response (EDR) værktøjer, der bruger AI og overvåger usædvanlig adfærd, ofte opdage zero-day angreb, såsom uventet filkryptering eller uautoriserede dataoverførsler.