A „nulladik nap” eleve egy nagyon furcsa kifejezésnek tűnik, idáig még a Genezis se merészkedik. Mi történhet valaminek a nulladik napján, miért nem elsőnek hívjuk, és hogy jelenthet ez az egész fenyegetést a céged informatikai rendszerére, a bizalmas információkra? Ebben a cikkben mindezt röviden áttekintjük, és arra is választ adunk, hogyan védekezhetsz a nulladik napi sérülékenységek ellen.
Kezdjük az elején. A „fenyegetés” kibontása, ha IT-biztonságról (csavarosabb nevén kiberbiztonságról) beszélünk, nem bonyolult: minden sebezhetőség, a rendszer gyenge pontjai, a tűzfal hiányosságai, a szoftverekben található észrevétlen hátsó ajtók, de még az emberi hiba (lásd elsősorban az adathalászatot) is potenciális fenyegetést jelent az adatbiztonságodra nézve.
A létezésük annak a lehetőséget hordozza magában, hogy illetéktelenek férnek a rendszeredhez, adatokat tulajdonítanak el vagy titkosítanak, te pedig elveszíted őket. Mindez, mondanunk sem kell, nagyon komoly hatással lehet egy cég mindennapi működésére, az egyszemélyes mikrovállalkozástól a legnagyobb multiig.
A „nulladik nap”
Abban a pillanatban, hogy mondjuk egy biztonsági cég vagy maga egy szoftver gyártója tudomást szerez egy fenyegetésről, az első napon találjuk magunkat: megindul a rés lezárása, készülnek a biztonsági frissítések, sebtében jelszót változtatunk és így tovább.
Következésképp a nulladik nap az, amikor a fenyegetésről még nem tudunk.
Ez az, amikor még senki sem észlelt egy hiányosságot – kivéve potenciálisan azokat, akik ki akarják használni, és így nem fognak szólni a biztonsági cégeknek, inkább írnak rá néhány gyors szkriptet, vírust, hogy az adott szoftvert használó cégeknél bepróbálkozzanak.
Technikailag a nulladik nap az, amikor az adott hibát nyilvánosságra hozzák, mondjuk a deep weben, a fekete piacon, a gyártóknak, fejlesztőknek viszont még nem volt idejük felkészülni rá, így a védekezés is bajos, hisz a felhasználónak kevés más választása van (ha egyáltalán időben értesül a veszélyről), mint hogy felfüggeszti a szolgáltatás használatát, amíg a biztonsági frissítés, hibajavítás el nem készül.
Ezzel több probléma is akad persze.
Elsősorban az, hogy ha egy olyan szoftvernél derül fény ilyen sebezhetőségre, amit a napi működéshez használunk (CRM, ERP, vezetői információs rendszerek, felhőalapú adatbázis és így tovább), akkor egyszerűen húzzuk le a rolót, amíg az IT-biztonsági szakik megírják a frissítést?
Honnan tudjuk ez, meddig tart? Órákig, napokig, hetekig? Pótoljuk addig mással a szoftvert, térjünk át offline megoldásokra, vagy nyeljük le, amíg nem működik a cég nélküle? Egyik sem vállalható út.
Száz százalékig biztonságos szoftver, kód nem létezik, ezt egyszerűen tényként el kell fogadjuk.
Adódik a kérdés: hogyan védekezünk valami ellen, amit nem ismerünk? Hogyan készülhetünk fel valamire, ha nincs is róla információnk? Illetve, hogyan teheti meg ezt helyettünk egy biztonsági szoftver?
Védelem az ismeretlen ellen
A hagyományos vírusírtók alkalmatlanok arra, hogy ilyen ismeretlen fenyegetésekkel szemben megvédjenek minket, egyszerűen azért, mert olyan folyamatosan frissülő adatbázisokból dolgoznak, amelyek a már ismert fenyegetéseket, kártékony kódokat, vírusokat tartalmazzák. Vagyis nem nulladik napi eszközök.
Ennél egy kicsit bonyolultabb a megoldás, de létezik, és itt jön be a képbe az úgynevezett végpontvédelem.
Az úgynevezett végpontvédelmi biztonsági megoldások egymásra rétegzett biztonsági rendszert használnak. Ilyen például a Heimdal Next-Gen Endpoint Antivirus: ebben 4 különálló réteg védi adatainkat, mind mást és mást vizsgál, és gépi tanulással képes felismerni nem csak a már ismert veszélyeket, de az ismeretlen károkozókat is a gyanús tevékenységüket beazonosítva.
A gépi tanulással ma már egy kicsit akár a jövőbe is láthatunk, ugyancsak a Heimdal megoldása, a Threat Prevention szintén ilyen mesterségesintelligencia-alapon működik. Ez már neurális hálózatokat modellez, és nem feltétlen kell értenünk a működését – annyiról van szó, hogy ismert kártékony kódok viselkedése alapján megjósolja, hogyan viselkedhetnek a jövőbeniek, és ezzel akár olyan vírusoktól is védi a rendszert, amiket még meg sem alkottak.
Ezek a megoldások fejlettek ugyan, és átlagos felhasználóként esélyünk sincs rá, hogy a működésükbe belelássunk, azt viszont tudjuk, hogy működnek.
És azt is, hogy milyen következményei lehetnek, ha nem használjuk őket.
Az IT szinte a kezdetek óta egy durva fegyverkezési verseny biztonsági szakemberek és kiberbűnözők között – és ha nem a legújabb pajzsot tartjuk a cégünk elé, annak lehet a vége kis kellemetlenség vagy végzetes krízis is. Előre nem tudhatjuk – mindig csak az első napon…