Mikä on nollapäivähaavoittuvuus?
Nollapäivähaavoittuvuus on ohjelmiston tietoturva-aukko, jonka myyjä tai kehittäjä on juuri löytänyt, joten heillä ei ole ollut aikaa luoda tai julkaista korjausta. Koska korjausta ei ole vielä saatavilla, verkkorikolliset voivat hyödyntää näitä aukkoja käynnistääkseen hyökkäyksiä, joita on vaikea havaita ja pysäyttää.
Esimerkiksi WannaCry-lunnasohjelmahyökkäys toukokuussa 2017 osoitti, kuinka tuhoisia nollapäivähaavoittuvuudet voivat olla. Tämä maailmanlaajuinen hyökkäys iski yli 200 000 tietokoneeseen 150 maassa käyttämällä Windowsin haavoittuvuutta ennen kuin monet organisaatiot ehtivät päivittää järjestelmiään.
Nollapäivän keskeiset ominaisuudet
- Tuntematon myyjälle: Ohjelmiston luoja ei ole tietoinen aukosta ennen kuin hyökkäys tapahtuu tai tutkijat paljastavat sen.
- Ei korjausta saatavilla: Virallista tietoturvapäivitystä tai “korjausta” ei ole saatavilla löytöhetkellä.
- Korkea riski: Tavanomaiset virustorjuntatyökalut, jotka käyttävät tunnettuja uhkasignaaleja, eivät usein havaitse nollapäivän hyökkäyksiä, koska nämä uhat ovat uusia ja tuntemattomia.
- Välitön uhka: Hyökkääjillä on selkeä etulyöntiasema, kunnes korjaus julkaistaan ja otetaan käyttöön.
Kuinka nollapäivähyökkäys toimii
Nollapäiväuhka noudattaa yleensä aikajanaa, jota kutsutaan ‘haavoittuvuuden ikkunaksi.’
- Haavoittuvuus syntyy: Kehittäjä kirjoittaa tahattomasti koodia, joka sisältää tietoturva-aukon (esim. puskuriin kohdistuva ylivuoto tai SQL-injektio -aukko).
- Hyökkäysluokka luodaan: Hyökkääjä löytää aukon ennen kuin myyjä tai tietoturvatutkijat huomaavat sen. He luovat sitten ‘Zero Day Exploit’ -koodin, joka on tehty hyödyntämään tätä heikkoutta.
- Hyökkäys käynnistetään: Hyökkääjä käyttää ‘Zero Day Attack’ -hyökkäystä tiettyihin kohteisiin tai jopa koko internetissä. Tässä vaiheessa tavanomaiset tietoturvaskannaukset eivät usein pysty havaitsemaan hyökkäystä.
- Havainto ja ilmoitus: Myyjä saa lopulta tietää aukosta joko palkkio-ohjelman, tietoturvatutkijan tai aktiivisen hyökkäyksen havaitsemisen kautta.
- Korjaus julkaistaan: Myyjä kehittää ja jakaa tietoturvapäivityksen. Kun korjaus on saatavilla, aukko ei ole enää “zero day”, vaan siitä tulee “tunnettu haavoittuvuus” (jolle usein annetaan CVE-numero).
Miksi Zero-Day-haavoittuvuudet ovat tärkeitä kyberturvallisuudessa
Zero-day-haavoittuvuudet ovat yksi vakavimmista riskeistä organisaatioille, koska ne ohittavat pääpuolustuksen, joka on korjausten hallinta.
- Puolustusten ohittaminen: Koska vanhat tietoturvatyökalut luottavat tunnettuihin uhkatietokantoihin, nollapäivähyökkäykset voivat livahtaa palomuurien ja päätepisteiden suojauksen läpi huomaamatta.
- Korkea arvo: Nämä haavoittuvuudet ovat erittäin arvokkaita pimeässä verkossa. Valtiolliset hakkerit ja kehittyneet pysyvät uhkaryhmät (APT) pitävät niitä usein itsellään käyttääkseen niitä tärkeitä kohteita, kuten kriittistä infrastruktuuria tai valtion verkkoja vastaan.
- Toiminnallinen vaikutus: Nollapäivän korjaaminen tarkoittaa usein hätäkatkosta, manuaalisten kiertotapojen käyttöä tai jopa järjestelmien offline-tilaan asettamista, kunnes korjaus on valmis.
Nollapäivä vs. Tunnetut haavoittuvuudet
| Ominaisuus | Nollapäivähaavoittuvuus | Tunnettu haavoittuvuus (N-Day) |
|---|---|---|
| Tila | Tuntematon toimittajalle/julkisuudelle | Julkisesti paljastettu |
| Korjaus saatavilla | Ei ole | Korjaus olemassa (mutta ei välttämättä sovellettu) |
| Havaitseminen | Vaikea (vaatii käyttäytymisanalyysiä) | Helppo (allekirjoituspohjainen havaitseminen) |
| Riski | Kriittinen / Vakava | Vaihteleva (riippuu korjauksen tilasta) |
Liittyvät termit
- Exploit Prediction Scoring System (EPSS)
- Common Vulnerabilities and Exposures (CVE)
- Staattinen sovellusturvallisuuden testaus (SAST)
- Dynaaminen sovellusturvallisuuden testaus (DAST)
UKK: Nollapäivähaavoittuvuus
K: Mikä on ero nollapäivähaavoittuvuuden ja nollapäivähyökkäyksen välillä?
Haavoittuvuus on virhe itse ohjelmistokoodissa. Hyökkäys on varsinainen koodi tai tekniikka, jota hyökkääjät käyttävät hyödyntääkseen virheen ja murtautuakseen järjestelmään.
K: Miten voin suojautua nollapäivähyökkäyksiltä, jos ei ole olemassa korjausta?
Koska et voi korjata sitä, mistä et tiedä, suojaus riippuu useiden puolustuskerrosten käytöstä:
- Käytä Web Application Firewalls (WAF) estämään epäilyttävät liikennemallit.
- Ota käyttöön Runtime Application Self-Protection (RASP).
- Käytä käyttäytymisanalyysiä pelkän allekirjoituspohjaisen tunnistuksen sijaan.
- Pidä yllä tiukka tapahtumavasteen suunnitelma reagoidaksesi nopeasti, kun nollapäivähaavoittuvuus paljastuu.
K: Voiko virustorjuntaohjelmisto havaita nollapäivähyökkäyksiä?
Perinteinen virustorjuntaohjelmisto, joka käyttää vain ‘allekirjoituksia’ (jotka ovat kuin tunnetun haittaohjelman sormenjälkiä), ei voi löytää nollapäiväuhkia. Kuitenkin modernit Endpoint Detection and Response (EDR) -työkalut, jotka käyttävät tekoälyä ja tarkkailevat epätavallista käyttäytymistä, voivat usein havaita nollapäivähyökkäyksiä, kuten odottamatonta tiedostojen salausta tai luvattomia tietojen siirtoja.