Google Threat Intelligence Group публикува своя годишен анализ на експлоатацията на т.нар. zero-day уязвимости за 2024 г., представяйки важни тенденции и изводи за сигурността както на крайни потребители, така и на корпоративни инфраструктури. Макар общият брой засечени zero-day атаки да бележи спад спрямо предходната година, качественият анализ показва тревожни насоки за бъдещето на киберсигурността.

Какво е zero-day и защо дефиницията има значение?

Zero-day уязвимост се определя като такава, която е била използвана в реални атаки преди разработчиците да издадат корекция (patch). Макар това да е общоприетата дефиниция сред анализатори и компании като Google, в индустрията все още съществуват разногласия – някои я използват за всяка новооткрита уязвимост, независимо дали е експлоатирана или не. Това води до объркване в оценката на риска и ефективността на отговора на инциденти.

Основни цифри: по-малко атаки, но по-ефективни

През 2024 г. Google е проследила 75 zero-day уязвимости, в сравнение с 98 през 2023 г. и 63 през 2022 г. Въпреки спада, броят остава тревожно висок и показва, че заплахата продължава да е актуална.

Разпределението показва, че:

• 33 уязвимости са засегнали корпоративни технологии (мрежови и  продукти за сигурност),

• останалите са насочени към потребителски системи като браузъри, операционни системи и мобилни устройства.

Кои са най-засегнатите платформи?

• Windows експлойтите са се увеличили.

• Safari и iOS атаките са намалели значително.

• Google Chrome остава най-атакуваният браузър – индикатор за масовото му използване.

При мобилните устройства, 90% от сложните експлойти (вериги от уязвимости) са били насочени именно към тях. Особено при Android, атаките често са използвали уязвимости във външни компоненти, които често остават извън полезрението на основните защитни механизми.

Уязвимости в корпоративна среда: защо са предпочитана цел?

Google обръща специално внимание на атаки срещу продукти на Ivanti, Palo Alto Networks и Cisco. Причините са стратегически:

„Инструментите за откриване и реакция на крайни точки (EDR) обикновено не работят на такива устройства, което ограничава възможностите за наблюдение. Освен това, за компрометиране не се изискват сложни вериги от уязвимости – дори единична уязвимост може да осигури пълен контрол,“ посочват от Google.

Това превръща тези системи в „сладки цели“ за атакуващите – с висока стойност и сравнително лесна експлоатация.

Кой стои зад атаките?

От 75-те анализирани експлойта, 34 са били обвързани с известни заплахи. От тях:

• ~45% са свързани с държавно подкрепяни хакерски групи, основно за шпионаж или финансови цели.

• ~30% – с финансово мотивирани, но недържавни групи.

• ~25% – с комерсиални доставчици на технологии за наблюдение, чиито инструменти често попадат в сивата зона между правна регулация и злоупотреба.

Заключение: по-тихи, но по-опасни атаки

Докладът на Google за 2024 г. ни показва, че макар количествено атаките да намаляват, те стават по-целенасочени, по-трудни за засичане и по-ефективни. Технологиите в корпоративна среда се оказват все по-уязвими, а държавните и частните извършители стават все по-добри в използването на непублични слабости.

Тенденцията подсказва, че организациите трябва да преминат отвъд традиционната защита на крайните точки и да разширят своята видимост към целия дигитален периметър – включително мрежови устройства, доставчици на услуги и мобилна инфраструктура.