Ще нещодавно вразливості нульового дня здавалися екзотикою зі світу спецоперацій та шпигунства. Тепер це цілком масовий інструмент злому корпоративних мереж, причому не лише тому, що атак побільшало. Головна зміна у швидкості: від перших сигналів до реальної експлуатації іноді проходить лише кілька годин.
Таку картину описує звіт ForeScout Vedere Labs 2025 H1 Threat Review: за його даними, кількість атак із використанням zero-day зросла на 46% вже в першій половині 2025 року. Якщо раніше команди з безпеки вважали за норму розрив у дні між публікацією вразливості та появою експлойтів у полі, то сьогодні цей «люфт» стиснувся до годин, а іноді й менше.
Зростання не виглядає випадковим сплеском. Експерти пов’язують його з «ідеальним штормом»: ускладненням софту, розширенням ланцюжків постачання, зростанням кількості залежностей та прискоренням атак завдяки штучному інтелекту. Системи стають настільки складними, що безпечна технологія не встигає за темпом, а помилки все важче помітити при звичайному тестуванні. Паралельно злетів і комерційний ринок zero-day: уразливості, що дозволяють підвищити привілеї, обійти автентифікацію або скомпрометувати облікові записи стали товаром з високим попитом. За такі знахідки конкурують і кримінальні групи, і покупці, пов’язані з державами, особливо коли йдеться про доступ до хмар, платформ ідентифікації та промислової інфраструктури.
Штучний інтелект прискорив майже весь цикл: автоматизований фазинг, пошук експлуатабельних помилок та генерація proof-of-concept зменшують час від виявлення до «бойового» застосування. Те, що раніше вимагало рідкісної експертизи, тепер стало доступнішим і швидшим у доведенні навіть для менш досвідчених зловмисників.
Атакована поверхня росте без зупинки. Більше пристроїв, більше edge та IoT, більше успадкованих систем, а значить і більше місць, де можна знайти вразливість. Зловмисники все частіше виходять за рамки браузерів та робочих станцій та пробують «нетипові» цілі, наприклад IP-камери та промислове обладнання. Такі пристрої зручні як прихована точка опори для подальшого переміщення мережею, і цей сценарій все частіше спливає у здирницьких атаках і цільових операціях. Старі компоненти, на кшталт файлових систем, драйверів та мережевих стеків, залишаються багатим ґрунтом для нових знахідок. А геополітична напруженість підігріває попит на zero-day, тому що групи, зайняті розвідкою, мають сильну мотивацію шукати й накопичувати невідомі вразливості.
Змінюється і тактика. Точкові операції все частіше поступаються місцем «індустріалізованої експлуатації», коли zero-day стає лише стартовим ключем. Далі зловмисники вибудовують ланцюжок із компрометації постачання, крадіжки облікових даних, бічного переміщення та підвищення привілеїв. Замість ставки на один дефект, вони з’єднують кілька векторів, щоб надійніше дійти до привілейованого доступу.
Для захисників це неприємна математика. Деякі вразливості починають експлуатувати протягом годин після публічного розкриття, особливо якщо мова про прикордонні системи або популярні пристрої. Вікно для встановлення патча або обхідних заходів майже зникає, і звичний ритм «вийшло оновлення, поставимо за планом», перестає працювати. При цьому первинне проникнення може займати хвилини, але час життя зловмисника всередині мережі розтягується на місяці.
Захищатись потрібно так, ніби експлуатація невідомої вразливості може початися майже миттєво. Акцент робиться на моделях на кшталт zero trust та компенсаційних заходах на рівні ідентичностей, кінцевих пристроїв, додатків та мережі, які уповільнюють зловмисника, навіть коли патчу ще немає. Найважливішими стають мінімальні привілеї, сегментація та постійна перевірка облікових записів, щоб не дати атаці поширитися. Потрібно зрушення від «періодичних» практик до безперервних, з упором на стримування, сегментацію та виявлення.
Є й хороша новина: за останні роки зросла спостерігальність. Телеметрією частіше діляться, процеси розкриття вразливостей та звітність виробників стали зрілішими. Але цього недостатньо, щоб компенсувати адаптацію зловмисників. Найнебезпечніша сліпа зона — це ідентичності: експлуатація zero-day нерідко виглядає як легітимний вхід під справжніми обліковими даними. Без якісного логування, базових поведінкових ліній та контролю привілеїв зловмисники можуть залишатися невидимими. Крім того, сліпі плями зберігаються в ланцюжках постачання, прошивках, некерованих пристроях та тіньових SaaS-сервісах. IoT, edge, OT та успадковані системи часто погано моніторяться і повільно оновлюються або не оновлюються зовсім, тому атаки можуть залишатися непоміченими довго.
У сумі все це виглядає не як короткостроковий сплеск, а сигнал про зміну правил. Старе припущення, що між вразливістю та її масовою експлуатацією є зручний час на реакцію, більше не працює. Організаціям доводиться будувати захист, виходячи з неприємного припущення: невідомі вразливості використовуватимуть, і завдання оборони — не лише встигнути поставити патч.
Більше цікавого:
- Що таке вразливість нульового дня і як від неї захиститися
- Сучасні розумні пристрої: в чому їх небезпека для користувача?
- Як запобігти витоку персональних даних в даркнет
Джерело: Google Blog