То самое чувство, когда уязвимость уже есть и вероятнее всего эксплуатируется хакерами, а решения для ее исправления и защитных механизмов еще нет - простое, но доступное объяснение уязвимости нулевого дня. Уязвимость 0day представляется собой "дыру" или ошибку в программном обеспечение для которой разработчики еще не выпустили исправление, в силу того, что они не знают о существовании данной проблемы. Т.е. понятие подразумевает, что у производителей есть ноль дней с момента обнаружения уязвимости для защиты от потенциальных кибератак.
Хакер типа "белая шляпа", вероятнее всего сообщит об ошибке в компанию, что бы они внесли соответствующие изменения. В качестве поощрения от представителей организации может быть финансовое вознаграждение или судебный иск, как уж повезет.
Злоумышленники, которые не особо заинтересованы быть честными, могут продать полученную информацию на сером рынке, где подобные уязвимости могут стоить сотни тысяч долларов.
В случае, если киберпреступник является специалистом в своей области, он самостоятельно будет использовать эксплойты, с целью получения личной выгоды.
В тот момент, когда разработчикам становится известно об уязвимости 0day, они пытаются исправить ошибку и выпустить необходимое обновление для ее устранения. Если проблема используется хакерами до того момента, как она была исправлена программистами, в этот момент осуществляется атака нулевого дня (эксплойт нулевого дня).
Хакерам очень импонирует уязвимость 0day, поскольку, без патча безопасности, нет возможности их остановить. Уязвимости нулевого дня, как правило, очень трудно обнаружить. Системы защиты (антивирусы, файрволлы) могут просто на просто их не обнажить в силу того, что может применяться шифрование или обфускация программного кода, т.е. вредоносное ПО (код) может восприниматься, как необходимый элемент системы, тем самым не вызывая никаких подозрений. В это время злоумышленники могут осуществлять удаленное управления системой или компьютером, кражу персональных данных, промышленный шпионаж и т.п.
В мае 2017 года, была обнаружена программа-вымогатель WannaCry, которая, на сегодняшний день, является примером одной из самых масштабных атак использующих уязвимость нулевого дня в ПО. В то время от действия данного "червя" пострадало более 500 тысяч компьютеров, как персональных, так и коммерческих, в более чем 100 странах мира.
Один из самых действующий и эффективных методов для обнаружения - анализ поведенческого фактора пользователей. Статистика позволяет проанализировать буквально каждый шаг человека в системе. И есть определенные шаблоны, которые можно считать нормой поведения человека. Если имеются отклонения от нормы - это уже является одним из факторов, которые могут косвенно или напрямую указывать на наличие уязвимостей 0day.
Так же, в системе или ПО можно:
Обеспечить полноценную защиту от эксплойтов 0day трудная задача, поскольку их трудно обнаружить. Антивирусы, которые обеспечивают сканирование ПО или системы на наличие уязвимостей применяют проверку вредоносного ПО или подозрительного кода с уже существующими и ранее зафиксированными эксплойтами.
Соответственно, антивирусные технологии защиты, в силу того, что уязвимость нулевого дня не известна заранее, не смогут ее заблокировать - нет способа или метода, чтобы обеспечить защиту от эксплойта, прежде, чем он станет общедоступным.
Однако, есть рекомендации, которые могут применять компании для снижения риска воздействия 0-day уязвимостей:
