Одной из мантр информационной безопасности является сохранение и обновление ваших систем. Поскольку поставщики узнают о новых уязвимостях в своих продуктах, либо от сторонних исследователей, либо через свои собственные открытия, они создают исправления, исправления, пакеты обновления и обновления безопасности для исправления ошибок.
Святой Грааль для вредоносных программ и вирусов - это «работа с нулевым днем». Эксплойт с нулевым днем - это когда эксплойт для этой уязвимости создается раньше или в тот же день, когда уязвимость узнается поставщиком. Создавая вирус или червь, который использует уязвимость, которую поставщик еще не знает и для которого в настоящее время нет патча, злоумышленник может нанести максимальный хаос.
Некоторые уязвимости называются уязвимостью в работе с ножом в течение дня, но вопрос - нулевой день по календарю? Часто поставщики и поставщики ключевых технологий знают об уязвимости недель или даже месяцев до создания эксплойта или до того, как уязвимость раскрывается публично.
Ярким примером этого стала уязвимость SNMP (Simple Network Management Protocol), объявленная в феврале 2002 года. Студенты Университета Оулу в Финляндии фактически обнаружили недостатки летом 2001 года, работая над проектом PROTOS, тестовым набором, предназначенным для тестирования SNMPv1 (версия 1).
SNMP - это простой протокол, позволяющий устройствам разговаривать друг с другом. Он используется для связи устройства с устройством и для удаленного мониторинга и настройки сетевых устройств администраторами. SNMP присутствует в сетевом оборудовании (маршрутизаторы, коммутаторы, концентраторы и т. Д.), Принтеры, копировальные аппараты, факсимильные аппараты, компьютерное медицинское оборудование высокого класса и почти в каждой операционной системе.
Узнав, что они могут сбой или деактивация устройств с помощью своего набора тестов PROTOS, учащиеся Университета Оулу осторожно уведомили о полномочиях, которые были, и слово вышло поставщикам. Все сидели на этой информации и держали ее в секрете, пока в мире не было просочилось, что сам тестовый набор PROTOS, который был свободно и публично доступен, можно было использовать в качестве кода эксплойта, чтобы сбить SNMP-устройства. Только тогда производители и мир пытаются создать и опубликовать исправления для решения этой проблемы.
Мир впал в панику, и его рассматривали как эксплуататор с нулевым днем, когда на самом деле прошло более 6 месяцев с момента обнаружения изначально уязвимости. Аналогично, Microsoft находит новые отверстия или регулярно уведомляется о новых дырах в своих продуктах. Некоторые из них являются предметом интерпретации, и Microsoft может или не может согласиться с тем, что это на самом деле недостаток или уязвимость. Но даже для многих из них они согласны с уязвимостями, которые могут произойти в течение нескольких недель или месяцев, прежде чем Microsoft выпустит обновление для системы безопасности или пакет обновления, который устраняет проблему.
Одна из организаций безопасности (PivX Solutions) использовала для поддержания списка уязвимостей Microsoft Internet Explorer, о которых Microsoft узнала, но еще не исправлена. Существуют и другие сайты в Интернете, которые часто посещают хакеры, которые поддерживают списки известных уязвимостей и где хакеры и разработчики вредоносного кода торгуют информацией.
Это не означает, что эксплуатация с нулевым днем не существует. К сожалению, также часто случается так, что в первый раз, когда продавцы или мир узнают о дыре, это когда вы проводите судебно-медицинское исследование, чтобы выяснить, как система была разбита или анализируется вирус, который уже распространяется в дикой природе узнайте, как это работает.
Независимо от того, знали ли продавцы об этой уязвимости год назад или узнали об этом утром, если код эксплойта существует, когда уязвимость становится общедоступной, то это - бесполезный эксплойт на ваш календарь.
Лучшее, что вы можете сделать для защиты от атак с нулевым днем, - это, во-первых, следовать хорошим политикам безопасности. Устанавливая и сохраняя антивирусное программное обеспечение в актуальном состоянии, блокируя вложения файлов в электронные письма, которые могут быть вредными, и чтобы ваша система была исправлена с помощью уязвимостей, о которых вы уже знаете, вы можете защитить свою систему или сеть от 99% того, что там ,
Одним из лучших способов защиты от неизвестных в настоящее время угроз является использование аппаратного или программного обеспечения (или обоих) брандмауэров. Вы также можете включить эвристическое сканирование (технология, используемая для блокирования вирусов или червей, которые еще не известны) в вашем антивирусном программном обеспечении. Блокируя ненужный трафик в первую очередь с помощью аппаратного брандмауэра, блокируя доступ к системным ресурсам и службам с помощью программного брандмауэра или используя антивирусное программное обеспечение, чтобы помочь обнаружить аномальное поведение, вы можете лучше защитить себя от опасного использования в течение дня.
