Tehnika

Zero-day rünnakud tulevad ootamatult, ning nende viiruste kohta puudub eelinfo. Rünnakud on traditsioonilistel meetoditel tuvastamatud ning nõuavad seetõttu uusi kaitsetehnoloogiaid.

Enamik viiruse ja muu pahavara tõrjumise meetodeid põhineb signatuuri tuvastamisel. Pahavara kood sisaldab talle iseloomuliku käekirja, mille abil viirustõrje selle ka ära tunneb. Seetõttu tegelevad tõrjetarkvara tootjad pidevalt informatsiooni ja uute signatuuride kogumisega. Kasutaja arvutis olev viirustõrjetarkvara uuendab oma andmebaasi programmiti erinevalt, mõni teeb seda kord päevas, paremad aga iga viie minuti järel.

VIIMASED KOMMENTAARID huh Aksliga nõus - nimelt  vägagi arusaamatu on  kui IT-firma üks juhte  kasutab mõistet häkker  valesti. An... Aksel Selline mees nagu IT  Grupi partner võiks ju  teada, kes on häkker,  kes on kräkker jne...  Häirib see, ... Teised kommentaarid

Zero-Day rünnaku puhul pole uue viiruse signatuur veel avaldatud ning seega on vastumeetmed välja töötamata. Just vastumeetmete puudumine teeb võimalikuks viiruse kiire paljunemise ja suure hulga serverite ja arvutite nakatumise. «Efektiivsuse» tagamiseks kasutavad viiruste loojad ära just avaldatud turvaaukude infot, kuhu oma loodud viirused suunatakse.

Kuna kõik kasutajad ei suuda paari päeva jooksul auke parandada, siis kiiresti väljatöötatud viirus suudab lühikese aja jooksul palju pahandust teha.

Sündmuste ahel Zero-Day ründe puhul

1. Häkker avastab uue turvaaugu

2. Häkker kirjutab uut turvaauku ärakasutava viiruse

3. Zero-Day viirus nakatab esimese arvuti

4. Viirustõrjetarkvara tootja saabteada viirusest

5. Töötatakse välja signatuur

6. Tarkvaratootja teeb signatuuri kättesaadavaks

7. Ettevõtte infosüsteemi administraator installeerib signatuurid

8. Sammude 3-7 vahel on ettevõtte infosüsteem rünnakute suhtes kaitsetu

Tuntumateks Zero-Day rünnakuteks oli Code Red ja Slammer. Neist viimane kahekordistas nakatatud serverite hulga iga 8,5 sekundiga ning 10 minuti jooksul pääses 90% kaitsmata serverisse. Artikli kirjutamise hetkel oli viimasest Zero-Day rünnakust möödunud vaid kaks päeva. Häkkerid kasutasid ära Microsoft Exploreri VML (Vector Markup Language) turvaauku.

Seega paljunevad ja levivad uued ohud kiiremini, kui nende jaoks jõutakse välja töötada signatuur või kaitsemehhanism. Ettevõtted peavad rakendama turvalahendusi, mis kasutavad uuemaid tehnoloogiaid, võimaldades ka muul moel viirusi avastada. Vaid signatuuridel põhinev viirustõrje on nii-öelda reaktiivne tõrje. Proaktiivne tõrjesüsteem kasutab näiteks protokolli anomaaliatel (protocol anomaly), käitumistüübil (behavior-based) põhinevaid ja muid keerukaid analüüse.

Lihtsaim viis Zero-Day rünnakute tõrjumiseks on ettevõtte välisperimeetrile multifunktsionaalse tulemüüri, teiste sõnadega interneti turvaseadme paigaldamine. Kaitse peab olema selline, mis tõkestab viiruste, usside ja muu pahavara pääsu sisevõrku.

Seejuures tuleb kasutada mitut erinevat blokeerimistehnoloogiat. Tulemüür ei pruugi olla sugugi kallis. Näiteks Symantec SGS 1600 lahenduse hind jääb 25 000 krooni piirimaile. Täiendava turvalisuse tagab interneti turvatarkvara installeerimine kõikidesse arvutitöökohtadesse. Uudne interneti turvatarkvara pole enam antiviiruse tarkvara, vaid sisaldab tõrjevahendeid ka muu pahavara vastu.