מהי פגיעות יום אפס?
פגיעות יום אפס היא ליקוי אבטחה בתוכנה שהמוכר או המפתח גילו זה עתה, ולכן לא היה להם זמן ליצור או לשחרר תיקון. מכיוון שאין עדיין תיקון, פושעי סייבר יכולים לנצל את הליקויים הללו כדי לבצע התקפות שקשה לזהות ולעצור.
לדוגמה, התקפת הכופר WannaCry במאי 2017 הראתה עד כמה פגיעות יום אפס יכולות להיות מזיקות. התקפה עולמית זו פגעה ביותר מ-200,000 מחשבים ב-150 מדינות על ידי ניצול ליקוי ב-Windows לפני שרבים מהארגונים יכלו לעדכן את המערכות שלהם.
מאפיינים עיקריים של יום אפס
- לא ידוע למוכר: יוצר התוכנה אינו מודע לכך שהליקוי קיים עד שהתקפה מתרחשת או שהוא נחשף על ידי חוקרים.
- אין תיקון זמין: אין עדכון אבטחה רשמי או “תיקון” בזמן הגילוי.
- סיכון גבוה: כלי אנטי-וירוס רגילים המשתמשים בחתימות איומים ידועות לעיתים קרובות מפספסים ניצול יום אפס מכיוון שהאיומים הללו חדשים ובלתי ידועים.
- איום מיידי: לתוקפים יש יתרון ברור עד שהתיקון משתחרר ומיושם.
כיצד פועלת התקפת יום אפס
איום יום אפס בדרך כלל עוקב אחר ציר זמן הנקרא ‘חלון הפגיעות.’
- פגיעות שהוכנסה: מפתח כותב בטעות קוד המכיל פגם אבטחה (למשל, גלישת חוצץ או פרצת SQL injection).
- ניצול נוצר: תוקף מוצא את הפגם לפני שהספק או חוקרי אבטחה מבחינים בו. לאחר מכן הם יוצרים ‘ניצול יום אפס’, שהוא קוד שנועד להשתמש בחולשה זו.
- התקפה מושקת: התוקף משתמש ב’התקפת יום אפס’ על מטרות מסוימות או אפילו ברחבי האינטרנט. בשלב זה, סריקות אבטחה סטנדרטיות לעיתים קרובות אינן יכולות לראות את ההתקפה.
- גילוי וחשיפה: הספק בסופו של דבר לומד על הפגם, או דרך תוכנית תגמול, חוקר אבטחה, או על ידי זיהוי התקפה פעילה.
- תיקון משוחרר: הספק מפתח ומפיץ עדכון אבטחה. ברגע שהתיקון זמין, הפגם כבר אינו “יום אפס” אלא הופך ל”פגיעות ידועה” (לעיתים מוקצה מספר CVE).
מדוע פגיעויות יום אפס חשובות באבטחת סייבר
פגיעויות יום אפס הן בין הסיכונים החמורים ביותר עבור ארגונים מכיוון שהן עוקפות את ההגנה העיקרית, שהיא ניהול תיקונים.
- עקיפת הגנות: מכיוון שכלי אבטחה ישנים מסתמכים על מאגרי איומים ידועים, התקפות יום אפס יכולות לעבור דרך חומות אש והגנת נקודות קצה ללא הבחנה.
- ערך גבוה: ניצול אלו הם בעלי ערך רב ברשת האפלה. האקרים ממדינות ומקבוצות איום מתמיד מתקדם (APT) לעיתים קרובות שומרים אותם לשימוש נגד מטרות חשובות כמו תשתיות קריטיות או רשתות ממשלתיות.
- השפעה תפעולית: תיקון יום אפס לעיתים קרובות דורש השבתה חירום, שימוש בעקיפות ידניות או אפילו הורדת מערכות עד שהטלאי מוכן.
יום אפס מול פגיעויות ידועות
| תכונה | פגיעות יום אפס | פגיעות ידועה (N-Day) |
|---|---|---|
| סטטוס | לא ידוע לספק/לציבור | נחשף לציבור |
| זמינות טלאי | אין | טלאי קיים (אך ייתכן שלא ייושם) |
| זיהוי | קשה (דורש ניתוח התנהגותי) | קל (זיהוי מבוסס חתימה) |
| רמת סיכון | קריטי / חמור | משתנה (תלוי במצב הטלאי) |
מונחים קשורים
- מערכת ניקוד חיזוי ניצול (EPSS)
- פגיעויות וחשיפות נפוצות (CVE)
- בדיקת אבטחת יישומים סטטית (SAST)
- בדיקת אבטחת יישומים דינמית (DAST)
שאלות נפוצות: פגיעות יום אפס
ש: מה ההבדל בין פגיעות יום אפס לבין ניצול יום אפס?
הפגיעות היא פגם בקוד התוכנה עצמו. הניצול הוא הקוד או הטכניקה בפועל שהתקפים משתמשים בהם כדי לנצל פגם ולפרוץ למערכת.
ש: כיצד ניתן להגן מפני התקפות יום אפס אם אין תיקון?
מכיוון שלא ניתן לתקן מה שלא ידוע עליו, ההגנה תלויה בשימוש במספר שכבות הגנה:
- השתמשו ב-חומות אש ליישומים אינטרנטיים (WAF) כדי לחסום דפוסי תנועה חשודים.
- יישמו הגנה עצמית בזמן ריצה של יישומים (RASP).
- השתמשו ב-ניתוח התנהגותי במקום רק בזיהוי מבוסס חתימות.
- שמרו על תוכנית תגובה לאירועים קפדנית כדי להגיב במהירות לאחר גילוי יום אפס.
ש: האם תוכנת אנטי-וירוס יכולה לזהות התקפות יום אפס?
תוכנת אנטי-וירוס מסורתית שמשתמשת רק ב’חתימות’ (שהן כמו טביעות אצבע של תוכנות זדוניות ידועות) אינה יכולה למצוא איומים של יום אפס. עם זאת, כלים מודרניים לזיהוי ותגובה בנקודות קצה (EDR) שמשתמשים בבינה מלאכותית ועוקבים אחר התנהגות לא רגילה יכולים לעיתים קרובות לזהות התקפות יום אפס, כגון הצפנה בלתי צפויה של קבצים או העברות נתונים לא מורשות.