Уязвимость нулевого дня
Нулевой день (также известный как нулевой день ) — это уязвимость в программном или аппаратном обеспечении , которая обычно неизвестна поставщику и для которой не патча существует или другого исправления. У поставщика нет дней на подготовку исправления, поскольку уязвимость уже описана или использована.
Несмотря на цель разработчиков создать продукт, который работает полностью так, как задумано, практически все программное и аппаратное обеспечение содержат ошибки. Многие из них снижают безопасность системы и, таким образом, являются уязвимостями. Несмотря на то, что уязвимости нулевого дня являются основой лишь незначительного числа кибератак, они считаются более опасными, чем известные уязвимости, поскольку существует меньше возможных контрмер.
Государства являются основными пользователями уязвимостей нулевого дня не только из-за высокой стоимости их обнаружения или покупки, но и из-за значительных затрат на написание программного обеспечения для атак. Многие уязвимости обнаруживаются хакерами или исследователями безопасности, которые могут раскрыть их поставщику (часто в обмен на вознаграждение за обнаружение ошибок ) или продать их государствам или преступным группам. Использование нулевого дня увеличилось после того, как многие популярные компании-разработчики программного обеспечения начали шифровать сообщения и данные, а это означает, что незашифрованные данные можно было получить только путем взлома программного обеспечения до того, как оно было зашифровано.
Определение
[ редактировать ]Несмотря на цель разработчиков создать продукт, который работает полностью так, как задумано, практически все программное и аппаратное обеспечение содержат ошибки. [1] Если ошибка создает угрозу безопасности, она называется уязвимостью . Уязвимости различаются по возможности использования злоумышленниками . Некоторые из них вообще непригодны для использования, а другие можно использовать для нарушения работы устройства с помощью атаки типа «отказ в обслуживании» . Наиболее ценные из них позволяют злоумышленнику внедрить и запустить свой собственный код без ведома пользователя. [2] Хотя термин «нулевой день» первоначально относился к моменту, когда поставщику стало известно об уязвимости, уязвимости нулевого дня также можно определить как подмножество уязвимостей, для которых не патча или другого исправления. существует [3] [4] [5] Эксплойт нулевого дня — это любой эксплойт, использующий такую уязвимость. [2]
Эксплойты
[ редактировать ]Эксплойт — это механизм доставки, который использует уязвимость для проникновения в системы цели для таких целей, как срыв операций, установка вредоносного ПО или утечка данных . [6] Исследователи Лилиан Аблон и Энди Богарт пишут, что «мало что известно об истинных масштабах, использовании, пользе и вреде эксплойтов нулевого дня». [7] Эксплойты, основанные на уязвимостях нулевого дня, считаются более опасными, чем те, которые используют известную уязвимость. [8] [9] Однако вполне вероятно, что большинство кибератак используют известные уязвимости, а не уязвимости нулевого дня. [7]
Государства являются основными пользователями эксплойтов нулевого дня не только из-за высокой стоимости поиска или покупки уязвимостей, но и из-за значительных затрат на написание программного обеспечения для атак. Тем не менее, любой может воспользоваться уязвимостью, [4] и, согласно исследованию корпорации RAND , «любой серьезный злоумышленник всегда может получить доступное средство нулевого дня практически для любой цели». [10] Множество целевых атак [11] а большинство продвинутых постоянных угроз основаны на уязвимостях нулевого дня. [12]
Среднее время разработки эксплойта уязвимости нулевого дня оценивалось в 22 дня. [13] Сложность разработки эксплойтов со временем возрастает из-за увеличения количества функций защиты от эксплойтов в популярном программном обеспечении. [14]
Окно уязвимости
[ редактировать ]Уязвимости нулевого дня часто классифицируются как «живые», что означает, что об уязвимости никто не знает, и «мертвые», когда уязвимость обнаружена, но не исправлена. Если сопровождающие программного обеспечения активно ищут уязвимости, это живая уязвимость; такие уязвимости в необслуживаемом программном обеспечении называются бессмертными. Уязвимости зомби можно использовать в старых версиях программного обеспечения, но они исправлены в более новых версиях. [15]
Даже общеизвестные уязвимости и уязвимости-зомби часто можно использовать в течение длительного периода времени. [16] [17] Разработка исправлений безопасности может занять месяцы. [18] или, возможно, никогда не будет разработан. [17] Патч может оказать негативное влияние на функциональность программного обеспечения. [17] и пользователям может потребоваться протестировать патч, чтобы убедиться в его функциональности и совместимости. [19] Крупные организации могут оказаться не в состоянии выявить и исправить все зависимости, тогда как более мелкие предприятия и частные пользователи могут не устанавливать исправления. [17] Исследования показывают, что риск кибератак увеличивается, если об уязвимости становится публично известно или выпущен патч. [20] Киберпреступники могут перепроектировать патч, чтобы найти основную уязвимость и разработать эксплойты. [21] часто быстрее, чем пользователи устанавливают патч. [20]
Согласно исследованию RAND Corporation, опубликованному в 2017 году, эксплойты нулевого дня остаются пригодными для использования в среднем в течение 6,9 лет. [22] хотя те, которые приобретены у третьих лиц, можно использовать в среднем только 1,4 года. [13] Исследователи не смогли определить, имеет ли какая-либо конкретная платформа или программное обеспечение (например, программное обеспечение с открытым исходным кодом ) какое-либо отношение к ожидаемой продолжительности жизни уязвимости нулевого дня. [23] Хотя исследователи RAND обнаружили, что 5 процентов запасов секретных уязвимостей нулевого дня были обнаружены кем-то другим, [22] другое исследование выявило более высокий уровень перекрытия: от 10,8 до 21,9 процента в год. [24]
Контрмеры
[ редактировать ]Поскольку по определению не существует патча, который мог бы заблокировать эксплойт нулевого дня, все системы, использующие программное или аппаратное обеспечение с уязвимостью, подвергаются риску. Сюда входят защищенные системы, такие как банки и правительства, на которых установлены все актуальные исправления. [25] Антивирусное программное обеспечение часто неэффективно против вредоносного ПО, вызванного эксплойтами нулевого дня. [26] Системы безопасности созданы с учетом известных уязвимостей, и вредоносное ПО, внедренное с помощью эксплойта нулевого дня, может продолжать работать незамеченным в течение длительного периода времени. [17] Хотя было много предложений по созданию системы, эффективной для обнаружения эксплойтов нулевого дня, в 2023 году эта область останется активной областью исследований. [27]
Многие организации приняли тактику глубокоэшелонированной защиты, поэтому атаки, скорее всего, потребуют нарушения нескольких уровней безопасности, что затрудняет их достижение. [28] Обычные меры кибербезопасности, такие как обучение и контроль доступа, такие как многофакторная аутентификация , доступ с наименьшими привилегиями и контроль доступа , затрудняют компрометацию систем с помощью эксплойта нулевого дня. [29] Поскольку написать абсолютно безопасное программное обеспечение невозможно, некоторые исследователи утверждают, что повышение стоимости эксплойтов является хорошей стратегией снижения бремени кибератак. [30]
Рынок
[ редактировать ]Эксплойты нулевого дня могут принести миллионы долларов. [4] Существует три основных типа покупателей: [31]
- Белый: поставщик или третьи стороны, такие как « Инициатива нулевого дня» , которые раскрывают информацию поставщику. Часто такое раскрытие происходит в обмен на вознаграждение за обнаружение ошибок . [32] [33] [34] Не все компании положительно реагируют на раскрытие информации, поскольку оно может повлечь за собой юридическую ответственность и операционные накладные расходы. Нередко получают письма о прекращении противоправных действий от поставщиков программного обеспечения после бесплатного раскрытия уязвимости. [35]
- Серый: самый большой [4] и самый прибыльный. Правительство или спецслужбы покупают нулевой день и могут использовать его в атаке, накапливать уязвимости или уведомлять поставщика. [31] Федеральное правительство США является одним из крупнейших покупателей. [4] По состоянию на 2013 год « Пять глаз» (США, Великобритания, Канада, Австралия и Новая Зеландия) захватили большую часть рынка, а среди других крупных покупателей были Россия, Индия, Бразилия, Малайзия, Сингапур, Северная Корея и Иран. Позже страны Ближнего Востока увеличат свои расходы. [36]
- Черный: организованная преступность, которая обычно предпочитает использовать программное обеспечение, а не просто знать об уязвимостях. [37] Эти пользователи с большей вероятностью будут использовать «полдня», когда патч уже доступен. [38]
По оценкам, в 2015 году рынки правительства и преступности как минимум в десять раз превышали белый рынок. [31] Продавцами часто являются хакерские группы, которые ищут уязвимости в широко используемом программном обеспечении за финансовое вознаграждение. [39] Некоторые будут продавать только определенным покупателям, а другие будут продавать кому угодно. [38] Продавцы на белом рынке, скорее всего, будут мотивированы неденежными вознаграждениями, такими как признание и интеллектуальный вызов. [40] Продажа эксплойтов нулевого дня является законной. [34] [41] Несмотря на призывы к ужесточению регулирования, профессор права Мейлин Фидлер говорит, что шансов на международное соглашение мало, поскольку ключевые игроки, такие как Россия и Израиль, не заинтересованы в этом. [41]
Продавцы и покупатели, которые торгуют в нулевой день, как правило, скрытны, полагаясь на соглашения о неразглашении и законы о секретной информации, чтобы сохранить секретность своих действий. Если уязвимость станет известна, ее можно будет исправить, и, как следствие, ее ценность упадет. [42] Поскольку рынку не хватает прозрачности, сторонам может быть трудно найти справедливую цену. Продавцам могут не заплатить, если уязвимость была раскрыта до того, как она была проверена, или если покупатель отказался купить ее, но все равно использовал. С увеличением числа посредников продавцы никогда не могли знать, как можно использовать эти уязвимости. [43] Покупатели не могли гарантировать, что эксплойт не будет продан другой стороне. [44] И покупатели, и продавцы размещают рекламу в даркнете . [45]
Исследование, опубликованное в 2022 году и основанное на максимальных ценах, уплачиваемых одним брокером эксплойтов, выявило 44-процентную годовую инфляцию цен на эксплойты. Удаленные эксплойты с нулевым щелчком мыши могут принести самую высокую цену, а те, которые требуют локального доступа к устройству, стоят намного дешевле. [46] Уязвимости в широко используемом программном обеспечении также обходятся дороже. [47] По их оценкам, от 400 до 1200 человек продавали эксплойты этому брокеру, и они зарабатывали в среднем от 5000 до 20 000 долларов в год. [48]
Раскрытие информации и накопление запасов
[ редактировать ]По состоянию на 2017 год [update]Продолжаются дебаты о том, следует ли Соединенным Штатам раскрывать известные им уязвимости, чтобы их можно было исправить, или держать их в секрете для собственного использования. [49] Причины, по которым государства держат уязвимость в секрете, включают желание использовать ее в наступательных или защитных целях при тестировании на проникновение . [10] Раскрытие уязвимости снижает риск того, что потребители и все пользователи программного обеспечения станут жертвами вредоносного ПО или утечки данных . [1]
История
[ редактировать ]Значимость эксплойтов нулевого дня возросла после того, как такие службы, как Apple, Google, Facebook и Microsoft, зашифровали серверы и сообщения. Это означает, что единственным способом получить доступ к данным пользователя было перехватить их в источнике до того, как они будут зашифрованы. [25] Одним из наиболее известных случаев использования эксплойтов нулевого дня стал червь Stuxnet , который использовал четыре уязвимости нулевого дня, чтобы нанести ущерб ядерной программе Ирана в 2010 году. [7] Червь показал, чего можно достичь с помощью эксплойтов нулевого дня, вызвав расширение рынка. [36]
США Агентство национальной безопасности (АНБ) усилило поиск уязвимостей нулевого дня после того, как крупные технологические компании отказались устанавливать бэкдоры в программное обеспечение, поручив Tailored Access Operations (TAO) обнаружение и приобретение эксплойтов нулевого дня. [50] В 2007 году бывший сотрудник АНБ Чарли Миллер впервые публично заявил, что правительство США покупает эксплойты нулевого дня. [51] Некоторая информация о причастности АНБ к нулевым дням была раскрыта в документах, опубликованных подрядчиком АНБ Эдвардом Сноуденом в 2013 году, но подробности отсутствовали. [50] Репортер Николь Перлрот пришла к выводу, что «либо доступ Сноудена в качестве подрядчика не позволил ему достаточно глубоко проникнуть в правительственные системы для получения необходимой информации, либо некоторые правительственные источники и методы получения данных нулевого дня были настолько конфиденциальными или противоречивыми, что агентство так и не осмелилось изложить их в письменной форме». [52]
Ссылки
[ редактировать ]- ^ Перейти обратно: а б Аблон и Богарт 2017 , с. 1.
- ^ Перейти обратно: а б Аблон и Богарт 2017 , с. 2.
- ^ Аблон и Богарт 2017 , стр. iii, 2.
- ^ Перейти обратно: а б с д и Суд и Энбоди, 2014 , с. 1.
- ^ Перлрот 2021 , с. 7.
- ^ Страут 2023 , с. 23.
- ^ Перейти обратно: а б с Аблон и Богарт 2017 , с. 3.
- ^ Sood & Enbody 2014 , с. 24.
- ^ Браво и Кухня 2022 , с. 11.
- ^ Перейти обратно: а б Аблон и Богарт 2017 , с. xiv.
- ^ Sood & Enbody 2014 , стр. 2–3, 24.
- ^ Sood & Enbody 2014 , с. 4.
- ^ Перейти обратно: а б Аблон и Богарт 2017 , с. xiii.
- ^ Перлрот 2021 , с. 142.
- ^ Аблон и Богарт 2017 , с. xi.
- ^ Аблон и Богарт 2017 , с. 8.
- ^ Перейти обратно: а б с д и Суд и Энбоди, 2014 , с. 42.
- ^ Страут 2023 , с. 26.
- ^ Либицки, Аблон и Уэбб, 2015 , с. 50.
- ^ Перейти обратно: а б Либицкий, Аблон и Уэбб, 2015 , стр. 49–50.
- ^ Страут 2023 , с. 28.
- ^ Перейти обратно: а б Аблон и Богарт 2017 , с. х.
- ^ Аблон и Богарт 2017 , стр. xi–xii.
- ^ Леал, Марсело М.; Масгрейв, Пол (2023). «Назад с нуля: как общественность США оценивает использование уязвимостей нулевого дня в кибербезопасности». Современная политика безопасности . 44 (3): 437–461. дои : 10.1080/13523260.2023.2216112 . ISSN 1352-3260 .
- ^ Перейти обратно: а б Перлрот 2021 , с. 8.
- ^ Sood & Enbody 2014 , с. 125.
- ^ Ахмад и др. 2023 , с. 10733.
- ^ Страут 2023 , с. 24.
- ^ Либицки, Аблон и Уэбб, 2015 , с. 104.
- ^ Деллаго, Симпсон и Вудс, 2022 , с. 41.
- ^ Перейти обратно: а б с Либицкий, Аблон и Уэбб, 2015 , с. 44.
- ^ Деллаго, Симпсон и Вудс, 2022 , с. 33.
- ^ О'Хэрроу 2013 , с. 18.
- ^ Перейти обратно: а б Либицкий, Аблон и Уэбб, 2015 , с. 45.
- ^ Страут 2023 , с. 36.
- ^ Перейти обратно: а б Перлрот 2021 , с. 145.
- ^ Либицки, Аблон и Уэбб, 2015 , стр. 44, 46.
- ^ Перейти обратно: а б Либицкий, Аблон и Уэбб, 2015 , с. 46.
- ^ Sood & Enbody 2014 , с. 116.
- ^ Либицки, Аблон и Уэбб, 2015 , стр. 46–47.
- ^ Перейти обратно: а б Гудинг, Мэтью (19 июля 2022 г.). «Торговля уязвимостями нулевого дня прибыльна, но рискованна» . Технический монитор . Проверено 4 апреля 2024 г.
- ^ Перлрот 2021 , с. 42.
- ^ Перлрот 2021 , с. 57.
- ^ Перлрот 2021 , с. 58.
- ^ Sood & Enbody 2014 , с. 117.
- ^ Деллаго, Симпсон и Вудс, 2022 , стр. 31, 41.
- ^ Либицки, Аблон и Уэбб, 2015 , с. 48.
- ^ Деллаго, Симпсон и Вудс, 2022 , с. 42.
- ^ Аблон и Богарт 2017 , с. iii.
- ^ Перейти обратно: а б Перлрот 2021 , с. 9.
- ^ Перлрот 2021 , стр. 60, 62.
- ^ Перлрот 2021 , с. 10.
Источники
[ редактировать ]- Аблон, Лилиан; Богарт, Энди (2017). Нулевые дни, тысячи ночей: жизнь и времена уязвимостей нулевого дня и их использования (PDF) . Корпорация Рэнд. ISBN 978-0-8330-9761-3 .
- Ахмад, Рашид; Алсмади, Иззат; Альхамдани, Васим; Тавальбе, Лоай (2023 г.). «Обнаружение атак нулевого дня: систематический обзор литературы» . Обзор искусственного интеллекта . 56 (10): 10733–10811. дои : 10.1007/s10462-023-10437-z . ISSN 1573-7462 .
- Браво, Сезар; Кухня, Даррен (2022). Освоение защитной безопасности: эффективные методы защиты вашей Windows, Linux, IoT и облачной инфраструктуры . Пакт Паблишинг. ISBN 978-1-80020-609-0 .
- Деллаго, Матиас; Симпсон, Эндрю С.; Вудс, Дэниел В. (2022). «Брокеры-эксплойты и наступательные кибероперации» . Обзор киберзащиты . 7 (3): 31–48. ISSN 2474-2120 .
- Либицкий, Мартин С.; Аблон, Лилиан; Уэбб, Тим (2015). Дилемма защитника: прокладывая курс на кибербезопасность (PDF) . Корпорация Рэнд. ISBN 978-0-8330-8911-3 .
- О'Харроу, Роберт (2013). Нулевой день: угроза в киберпространстве . Книги по развлечению. ISBN 978-1-938120-76-3 .
- Перлрот, Николь (2021). Вот как мне говорят, что наступает конец света: победитель премии FT и McKinsey «Бизнес-книга года 2021» . Издательство Блумсбери. ISBN 978-1-5266-2983-8 .
- Суд, Адитья; Энбоди, Ричард (2014). Целевые кибератаки: многоэтапные атаки, основанные на эксплойтах и вредоносном ПО . Сингресс. ISBN 978-0-12-800619-1 .
- Страут, Бенджамин (2023). Справочник исследователя уязвимостей: подробное руководство по обнаружению, составлению отчетов и публикации уязвимостей безопасности . Пакт Паблишинг. ISBN 978-1-80324-356-6 .