Нулевой день: уязвимости в безопасности

Что гарантировано при использовании решений от нулевого дня?

Производители антивирусов и систем защиты обычно гарантируют только скорость выпуска сигнатурных обновлений (от 1 до 24 часов) после обнаружения атаки. Никто не обещает полное отсутствие заражений — такие обещания были бы заведомо ложными. Гарантия в контракте чаще всего сводится к «своевременному информированию об угрозе» и «выпуску экстренного патча в течение двух рабочих дней». Однако реальная защита от эксплойта нулевого дня возможна только на уровне поведенческого анализа (HIPS/EDR) — и здесь гарантии еще более размыты: обещают лишь «попытку блокировки подозрительной активности».

Как решаются проблемы при обнаружении zero-day?

• Ответ вендора: крупные поставщики (Microsoft, Google, Apple) создают закрытые каналы для репортов (bug bounty), выплачивают вознаграждения и выпускают внеплановые патчи. Гарантия: патч выйдет, но когда — неизвестно (от часов до недель).
• Временные меры: если патч отсутствует, администратору предлагают отключить уязвимый функционал вручную или настроить правила межсетевого экрана. Никакой гарантии защиты — только снижение поверхности атаки.
• Компенсации: в лицензиях обычно прописано, что вендор не несет ответственности за ущерб от zero-day эксплуатации. Единственная «гарантия» — возврат денег за неиспользованный период подписки.

На что проверять при выборе средств защиты, чтобы не пожалеть?

1. Время реакции: запросите SLA (Service Level Agreement) — сколько часов гарантирует поставщик на выпуск патча для критической уязвимости? Если более 48 часов — риски возрастают.
2. Наличие поведенческого анализа: убедитесь, что продукт использует эвристику, а не только сигнатуры. Гарантия — только на бумаге, проверяйте тестами (например, с помощью сервисов типа MITRE ATT&CK Evaluations).
3. Политика bug bounty: у поставщика должна быть программа вознаграждения для независимых исследователей. Если её нет — высок шанс, что уязвимости накапливаются годами.
4. Изоляция процессов: требует ли решение (например, браузерная песочница) виртуализации? Гарантия: если изоляция аппаратная (типа Intel SGX), утечка данных почти исключена. Если софтовая — риски сохраняются.
5. Условия отзыва лицензии: проверьте, что произойдет, если вы откажетесь устанавливать экстренное обновление. Некоторые вендоры аннулируют поддержку — это означает полную потерю гарантий.

Главные риски, о которых умалчивают

Даже при наличии EDR-системы, специализированный нулевой день (написанный под конкретную инфраструктуру) может остаться незамеченным — поведение выглядит легитимным. Гарантировать выявление такой атаки не может ни один продукт. Второй риск — ложные срабатывания поведенческого анализа: заблокированный легитимный обновление может нарушить работу сайта, а время на диагностику никто не компенсирует. Третий риск — человеческий: администратор может отключить защиту для «ускорения работы» — именно в этот момент эксплуатация нулевого дня и происходит.

Добавлено: 27.04.2026