.PNG)
1Что такое zero-day уязвимость
Zero-day (нулевой день) — уязвимость в программном обеспечении, о которой разработчик ПО ещё не знает или не выпустил патч. Название отражает суть: у производителя «ноль дней» на исправление — уязвимость уже эксплуатируется злоумышленниками. Zero-day считаются наиболее опасными, потому что стандартные средства защиты (антивирус, IPS с сигнатурами) их не обнаруживают.
Zero-day — это не просто теория. В 2021 году уязвимость в Microsoft Exchange (ProxyLogon) эксплуатировалась за несколько недель до выхода патча: взломаны десятки тысяч компаний по всему миру. В 2024 году zero-day в Ivanti Connect Secure использовался для атак на российские промышленные предприятия и государственные структуры.
2Zero-day vs N-day: в чём разница
| Параметр | Zero-day | N-day (известная CVE) |
|---|---|---|
| Патч доступен | Нет | Да (но не всегда установлен) |
| Сигнатуры IPS/AV | Нет или минимально | Есть для большинства |
| Обнаружение | Только поведенческий анализ и EDR | Сканеры уязвимостей, IPS |
| Кто атакует | APT, государственные хакеры | Массовые атаки, рансомвары |
| Стоимость эксплойта | Высокая ($50K–$2.5M) | Низкая (открытые PoC на GitHub) |
| Как защищаться | EDR, Threat Intel, поведенческий анализ, SOC | Регулярное обновление, VM, патч-менеджмент |
N-day опаснее zero-day для большинства компаний
3Жизненный цикл zero-day уязвимости
1. Обнаружение уязвимости
Исследователь (независимый, госструктура или хакер) находит уязвимость в ПО. Может оставаться тайной годами до начала эксплуатации.
2. Разработка эксплойта
Создаётся работающий эксплойт. На этом этапе уязвимость продаётся брокерам (Zerodium, Crowdfense) или используется в APT-кампаниях.
3. Активная эксплуатация (0-day период)
Уязвимость используется в атаках. Вендор ещё не знает о проблеме. Традиционные СЗИ не обнаруживают вредоносную активность.
4. Обнаружение и раскрытие
ИБ-исследователи или жертва атаки обнаруживают уязвимость. Уведомление вендора (responsible disclosure) или публичное раскрытие.
5. Выпуск патча (N-day период)
Вендор выпускает патч. Уязвимость получает номер CVE. Большинство компаний не успевают установить патч в первые 30 дней — риск сохраняется.
6. Массовая эксплуатация
После публикации CVE и PoC-эксплойта начинаются массовые атаки. Компании без VM-процесса остаются уязвимы месяцами.
4Громкие zero-day атаки: примеры
| Год | Уязвимость | Цель | Последствия |
|---|---|---|---|
| 2010 | Stuxnet (4 zero-day) | Центрифуги Ирана (АСУ ТП) | Физическое уничтожение оборудования — первое кибероружие |
| 2021 | ProxyLogon (MS Exchange) | Корпоративная почта | 250 000+ организаций взломано за 2 недели до патча |
| 2021 | Log4Shell (Log4j) | Java-приложения (½ интернета) | Критическая уязвимость в популярной библиотеке: RCE без аутентификации |
| 2023 | MOVEit Transfer | Корпоративный файлообмен | Кража данных 1000+ организаций группой Clop |
| 2024 | Ivanti Connect Secure | VPN-шлюзы | Атаки на промышленные предприятия РФ и государственные структуры |
5Как защититься от zero-day атак
Полная защита от zero-day невозможна — это надо принять. Цель не «предотвратить», а «обнаружить как можно быстрее и минимизировать последствия». Для этого нужен многоуровневый подход:
EDR — поведенческое обнаружение
Endpoint Detection & Response анализирует поведение процессов, а не сигнатуры. Обнаруживает аномальное поведение даже при неизвестном эксплойте.
Threat Intelligence — опережение атакующих
Подписка на коммерческие и государственные TI-фиды. Индикаторы компрометации (IOC) обновляются часами после первых атак — до массового использования.
VM — управление уязвимостями
Регулярное сканирование инфраструктуры выявляет N-day уязвимости. 80% реальных атак — через известные CVE без патча. Уберите низко висящие плоды.
Сетевой мониторинг (NDR/NTA)
Анализ сетевого трафика выявляет аномалии: C2-коммуникации, необычные объёмы данных, нестандартные протоколы. Zero-day эксплойт оставляет следы в трафике.
Минимизация поверхности атаки
Закрытие ненужных портов, отключение неиспользуемых сервисов, сегментация сети. Чем меньше поверхность атаки — тем сложнее использовать zero-day.
SOC и непрерывный мониторинг
Аналитики SOC видят цепочку атаки (Kill Chain) целиком. Даже если zero-day обходит периметр, аномальное поведение внутри сети обнаруживается и блокируется.
Среднее время обнаружения атаки
197 дней
Среднее время от взлома до обнаружения по данным IBM Cost of Data Breach 2024. SOC-мониторинг сокращает это время до часов
6Защита от zero-day в КРЕДО-С
SOC КРЕДО-С использует комплексный подход для обнаружения zero-day угроз: коммерческие Threat Intelligence фиды, поведенческий анализ EDR, корреляция событий в SIEM и мониторинг сетевого трафика. Аналитики дежурят 24/7 — обнаружение аномального поведения происходит в реальном времени, а не через 197 дней.
<1ч
Обнаружение
аномального поведения
50+
TI-источников
Threat Intelligence фидов
24/7
Мониторинг
без выходных
MITRE
ATT&CK
методология обнаружения
Эта статья подготовлена командой КРЕДО-С — эксперта по информационной безопасности с 1993 года. Используйте наш калькулятор стоимости SOC, пройдите бесплатный экспресс-аудит ИБ или проверьте размер штрафов за нарушения ИБ.
Олег Демьянов
Руководитель отдела информационной безопасности
С 2018 года консультирует ключевых игроков российского бизнеса. Экспертиза — промышленность, медицина, транспорт, органы власти. Специализация: управление уязвимостями, риск-менеджмент ИБ.