Не так страшен чёрт как его малюют, или почему не стоит бояться zero-day уязвимостей

В каждом продукте есть 0-day уязвимости. И в этом нет ничего удивительного. Однако случаев использования их мошенниками не так много. Намного опаснее уязвимости 1-day. Почему это так, в эфире «ИБшник на удалёнке» рассказали эксперты Positive Technologies — директор по анализу защищённости Дмитрий Серебрянников, глава отдела анализа приложений Дмитрий Скларов и директор экспертного центра безопасности Алексей Новиков. 

«Вообще каждый проект — это выявление каких-то уязвимостей нулевого дня. И здесь нет ничего удивительного. Потому что вокруг уязвимостей нулевого дня есть какой-то ореол таинственности и уникальности, однако не все уязвимости очень сложные в эксплуатации и обнаружении. Очень большая часть уязвимостей лежит на поверхности, просто раньше их никто не искал в каких-то продуктах. Поэтому не нужно думать, что уязвимость нулевого дня — это что-то такое редкое. На самом деле, мы их находим на каждом нашем проекте», — сразу отметил Дмитрий Серебрянников. 

 

0-day vs 1-day

Вместе с тем его коллега, Дмитрий Скляров пояснил, что крайне важно понимать, что такое жизненный цикл уязвимости, как она эволюционирует за время своего существования. По его словам, изначально есть разработчик, который что-то написал, что-то создал и допустил ошибку. И эта ошибка может присутствовать в системе не один год, пока на неё не наткнуться исследователи или злоумышленники.  «И вот в тот момент, когда об этой уязвимости становится известно, о том, что она существует, как раз этот момент называется 0-day. Почему нулевой день? Вендор ещё ничего не может сделать для того, чтобы защитить своих клиентов, которые используют его технологию», — рассказал Дмитрий Скляров. 

Он также отметил, что после того, как вендор выпустит патч, сообщит, что существовала какая-либо уязвимость и что теперь от неё есть защита — об этом узнаёт весь мир. Однако далеко не все бросаются ставить себе патч. Для этого есть много причин. Например, если была найдена проблема в BIOS или подсистеме Management Engine, о ней сообщили в Intel, и компания через полгода выпустила патч. Но если быть честными, то через сколько этот патч окажется установленным у пользователя на компьютере? Ведь обычные пользователи вряд ли думают об обновлении BIOS сразу после покупки своего компьютера: они купили устройство, настроили его, а зачем обновлять, если всё и так работает, ничего не беспокоит. «И вот тогда наступает ситуация, что компьютер находится в состоянии 1-day уязвимости. То есть уязвимость известна, для неё уже существует патч, но у большинства пользователей он не стоит. Вот это наиболее частая ситуация, когда люди оказываются уязвимы к тому, что они сами уже могут закрыть, но почему-то не закрыли», — пояснил Дмитрий Скляров. 

 

А что опаснее? 

Вместе с тем Алексей Новиков заверил, что эксплуатация уязвимостей нулевого дня — не так часто встречающаяся история. «Я по памяти вспоминал 2019 год, и в принципе до 10 случаев было известно. Когда действительно в рамках какой-либо атаки, эта атака обнаруживалась, производилось расследование и становилось понятно, что использовался како-то 0-day, который на тот момент не был пропатчен», — рассказал он. 

А вот уязвимости первого дня эксплуатируются злоумышленниками гораздо чаще. Потому что после публикации вендором информации о найденной уязвимости и новом патче, сразу же выкладываются в интернет эксплойты. «И колоссальное количество злоумышленников оперативно адаптируют под себя эти эксплойты и начинают массовую эксплуатацию этих уязвимостей. Причём этим занимаются и АРТ-группировки, которые работают целенаправленно, таргетировано против каких-то отраслей либо стран, так и злоумышленники, которые занимаются этим массово, на масс-маркете. И к сожалению, условия, когда злоумышленник использует эту уязвимость, то это почти 100% попадание в инфраструктуру, 100% реализация этих рисков и угроз, которые они несут», — пояснил Алексей Новиков.

19 мая, 2020

Подписаться на новости BIS Journal / Медиа группы Авангард

Подписаться
Введите ваш E-mail

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных

14.07.2026
АНБ соберёт лучших офицеров киберопераций под одной крышей
14.07.2026
Европа требует от Цукерберга поменять архитектуру его платформ
13.07.2026
Минцифры представило новые телеком-поправки — на 3 млрд рублей
13.07.2026
zkSecurity: Лидер среди ИИ-моделей меняется от релиза к релизу
13.07.2026
«Иногда у заказчиков даже заканчивается место в ЦОДах»
13.07.2026
Microsoft будет сканировать уязвимости с помощью ИИ-агентов
13.07.2026
Институт AI Now: LLM могут подпитывать кибератаки
10.07.2026
CISO опасаются, что топ-менеджеры не осознают все киберриски
10.07.2026
«ЮниКредит Банк» не оставляет попыток уйти из России
10.07.2026
ЕК взялась за страны, проигнорировавшие Директиву NIS2

Стать автором BIS Journal

Поля, обозначенные звездочкой, обязательные для заполнения!

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных