Еще не так давно уязвимости нулевого дня казались экзотикой для мира спецопераций и шпионажа. Сейчас это основной инструмент для взлома корпоративных сетей, и не только потому, что атак стало больше. Основное изменение — в скорости: иногда от первых сигналов до фактической эксплуатации проходит всего несколько часов.
Об этом рассказывается в обзоре угроз ForeScout Vedere Labs 2025 H1: согласно отчету, количество атак нулевого дня выросло на 46% в первой половине 2025 года. Если раньше команды безопасности считали нормальным разрывом между публикацией уязвимости и появлением связанных с ней эксплоитов несколько дней, то сегодня это время сократилось до часов, а иногда и минут.
Рост не кажется случайным. Эксперты описывают это как «идеальный шторм»: рост сложности программного обеспечения, расширение цепочек поставок, рост зависимостей и ускорение атак благодаря искусственному интеллекту.
Системы становятся настолько сложными, что разработка систем безопасности не успевает за ними, а уязвимости становится все труднее обнаружить в ходе рутинного тестирования. Параллельно растет коммерческий рынок нулевого дня: уязвимости, позволяющие повысить привилегии, обойти аутентификацию или скомпрометировать учетные записи, стали товаром, пользующимся повышенным спросом. За такие открытия конкурируют как преступные группировки, так и покупатели, связанные с правительством, особенно когда речь идет о доступе к облакам, платформам идентификации и промышленной инфраструктуре.
ИИ ускорил почти весь цикл: автоматизированные этапы, поиск уязвимостей и проверка концепции сокращают время от открытия до «применимого» применения. То, что раньше требовало редких знаний, теперь стало более доступным и быстрым в освоении даже для менее опытных злоумышленников.
Поверхность атаки постоянно растет. Все больше и больше устройств, все больше и больше конечных устройств и Интернета вещей, все больше и больше устаревших систем и, следовательно, все больше и больше мест для поиска уязвимостей. Злоумышленники все чаще выходят за рамки браузеров и рабочих станций и пытаются использовать «нетипичные» цели, такие как IP-камеры и промышленное оборудование. Такие устройства удобны в качестве скрытого плацдарма для дальнейшего движения по сети, и этот сценарий все чаще встречается в атаках-вымогателях и целевых операциях. Устаревшие компоненты, такие как файловые системы, драйверы и сетевые стеки, остаются благодатной почвой для новых открытий. А геополитическая напряженность подстегивает поиски нулевого дня, поскольку разведывательные группы очень заинтересованы в поиске и накоплении неизвестных уязвимостей.
Меняется и сама тактика. Точечные операции все чаще уступают место «промышленной эксплуатации», когда уязвимость нулевого дня становится всего лишь открывающим ключом. Затем злоумышленники выстраивают цепочку компрометации поставок, кражи учетных данных, горизонтального перемещения и повышения привилегий. Вместо того, чтобы бороться с одной уязвимостью, они объединяют несколько векторов для более надежного достижения привилегированного доступа.
Для защитников это неприятная ситуация. Некоторые уязвимости начинают использоваться уже через несколько часов после их публичного раскрытия, особенно для конечных систем или популярных устройств.
Окно для установки патча или обходного решения практически исчезает, и привычный ритм «обновление вышло, давайте выпустим его по расписанию» перестает работать. При этом первоначальное проникновение может занять минуты, а вот «жизнь» злоумышленника в сети растягивается на месяцы.
Защитите себя так, как будто эксплуатация неизвестной уязвимости может начаться практически сразу. Особое внимание уделяется таким моделям, как нулевое доверие и компенсационные меры на уровне идентификации, конечной точки, приложения и сети, которые замедляют действия злоумышленника, даже если исправление еще не доступно. Наименьшие привилегии, сегментация и постоянная проверка учетной записи становятся все более важными для предотвращения распространения атаки. Необходим переход от «партийной» практики к непрерывной практике с упором на сдерживание, сегментацию и поведенческое обнаружение.
Хорошей новостью является то, что в последние годы наблюдение усилилось. Телеметрические данные передаются чаще, процессы раскрытия уязвимостей и отчетности поставщиков улучшаются.
Но этого недостаточно, чтобы компенсировать адаптацию нападающих. Самое опасное «слепое пятно» — это личные данные: эксплуатация уязвимости нулевого дня часто выглядит как легитимный вход в систему под реальными учетными данными. Без качественной регистрации данных, базовых показателей поведения и контроля привилегий злоумышленники могут оставаться невидимыми. Кроме того, «слепые зоны» сохраняются в цепочках поставок, встроенном ПО, неуправляемых устройствах и теневых SaaS-сервисах. IoT, Edge и устаревшие системы часто плохо отслеживаются и работают медленно или вообще не обновляются, поэтому атаки могут оставаться незамеченными в течение длительного времени.
Все это выглядит как сигнал об изменении правил, а не как краткосрочный всплеск. Старое предположение о том, что между данной уязвимостью и ее массовой эксплуатацией существует комфортное время реакции, больше не актуально. Организации должны строить защиту, основываясь на неудобном предположении, что неизвестные уязвимости будут использованы, и задача защиты состоит не только в том, чтобы своевременно внедрить исправление, но и в том, чтобы не допустить превращения хакерской атаки в цепную реакцию.
` ); const randomIndex = Math.floor(Math.random() * Banners.length); document.getElementById(‘kaldata-random-banner’).innerHTML = баннеры(randomIndex); })();
Комментируйте статью на нашем форуме. Чтобы первыми узнавать самое важное, поставьте лайк нашей странице в Facebook и подпишитесь на нас в Google News, TikTok, Telegram и Viber или загрузите приложение по адресу Калдата.com для Android, iOS и Huawei!
