«روزِ صفر» (Zero‑Day) به زبان ساده

در دنیای امنیت سایبری، اصطلاح «روزِ صفر» (Zero‑Day) به چند مفهوم مرتبط اشاره دارد:

مفاهیم «روزِ صفر» (Zero‑Day) 

چرا Zero‑Day‌ها چنین خطرناک‌اند؟

• بدون راهکار (patch)، بدون امضا: لایه‌های سنتی امنیت —مثل آنتی‌ویروس، IPS و EDR—به الگوها و امضاهای شناخته‌شده بدافزارها متکی‌اند؛ در حملات روزِ صفر این الگوها هنوز وجود ندارند زیرا اکسپلویت و بدافزار تازه هستند.
• ارزش بالای پنهان‌کاری (Stealth): مهاجمان پیش از جلب توجه جامعهٔ امنیتی و کشف اکسپلویت، می‌توانند اهداف خاص را بدون شناسایی مورد حمله قرار دهند.
• فرماندهی و کنترل نامرئی: به دلیل تازگی اکسپلویت و نحوهٔ عملکرد آن، تیم‌های امنیتی (Blue Team) ممکن است نشانه‌های اولیه حمله را به اشتباه «فعالیت عادی» یا نویز در سیستم‌ها فرض کنند.

منابع اصلی کشف یا ساخت صفر‑دی‌ها

• پژوهشگران مستقل (Independent Researchers): افرادی که با رویهٔ افشای مسئولانه (Responsible Disclosure) باگ‌ها را کشف و به شرکت‌ها گزارش می‌کنند.
• فروشندگان امنیت تهاجمی (Offensive Security Vendors): شرکت‌هایی که اکسپلویت‌های سلاحی‌شده را به دولت‌ها یا خریداران خصوصی با اهداف مختلف (اغلب جاسوسی یا عملیات سایبری) می‌فروشند.
• گروه‌های مجرمانه (Cybercriminal Groups): این گروه‌ها ممکن است در جریان حملات فیشینگ یا باج‌افزار، به طور تصادفی یا هدفمند، آسیب‌پذیری‌های جدیدی را کشف و از آن‌ها استفاده کنند.
• چرخش اِن‑دی (N‑Day Pivot): پس از انتشار راهکار (patch) برای یک آسیب‌پذیری روز صفر، مهاجمان آن راهکار (patch) را مهندسی معکوس می‌کنند تا نحوهٔ کار اکسپلویت را بفهمند و سپس قربانیانی که در اعمال راهکار (patch) تأخیر دارند («دیر **راهکار (patch)**‌کن‌ها») را هدف بگیرند.

نمونه‌های مشهور Zero‑Day

• استاکس‌نت (Stuxnet) – ۲۰۱۰: از چهار آسیب‌پذیری روزِ صفر در سیستم‌های Windows و SCADA برای تخریب سانتریفیوژهای هسته‌ای در ایران استفاده کرد.
• اِترنال‌بلو (EternalBlue) – ۲۰۱۷: اکسپلویت SMBv1 متعلق به NSA که پس از افشا، به سرعت در بدافزارهای گسترده‌ای مانند واناکرای (WannaCry) و نات‌پتیا (NotPetya) به‌کار رفت و خسارات زیادی وارد کرد.
• Log4Shell – ۲۰۲۱: نقص بسیار بحرانی در کتابخانه نرم‌افزاری Log4j؛ کُد اثبات مفهوم (PoC) اکسپلویت ظرف چند ساعت منتشر شد و هزاران سرویس ابری و نرم‌افزار وابسته را در معرض خطر آلودگی قرار داد.

کاهش ریسک: راهکارهای برتر در برابر Zero‑Day

• فرض رخنه (Assume Breach): با پیاده‌سازی دفاع در عمق (Defense‑in‑Depth) و معماری Zero‑Trust، شبکه را به بخش‌های کوچک‌تر تقسیم کرده و دسترسی‌ها را محدود کنید تا آلوده‌شدن یک سیستم، به فاجعه‌ای سراسری منجر نشود.
• ویژگی‌های ضد اکسپلویت (Exploit Mitigations): فعال‌سازی قابلیت‌های امنیتی سیستم‌عامل مانند ASLR، DEP، Control‑Flow Guard، سندباکس (Sandbox) و ایزولاسیون مرورگر (Browser Isolation) می‌تواند جلوی موفقیت بسیاری از اکسپلویت‌ها، حتی اکسپلویت‌های ناشناخته، را بگیرد.
• چابکی اعمال راهکار (patch) (Patch Velocity): در اعمال **راهکار (patch)**‌های امنیتی بحرانی سریع عمل کنید و سعی کنید عضو «باشگاه ۲۴–۴۸ ساعته» باشید (یعنی **راهکار (patch)**‌ها را ظرف ۲۴ تا ۴۸ ساعت اعمال کنید). هرچه پنجرهٔ زمانی برای اعمال راهکار (patch) کوتاه‌تر باشد، پنجرهٔ زمانی برای بهره‌برداری مهاجم از آسیب‌پذیری هم کوچک‌تر می‌شود.
• کشف مبتنی بر رفتار (Behavior‑Based Detection): از ابزارهای EDR/XDR استفاده کنید که به‌جای امضاهای ثابت، به دنبال رفتارهای مشکوک و غیرعادی در سیستم‌ها می‌گردند —مثلاً اجرای غیرمعمول دستورات پاورشل (Anomalous PowerShell)— این روش می‌تواند فعالیت‌های مخرب ناشی از اکسپلویت‌های جدید را شناسایی کند.
• هوش تهدید (Threat Intelligence) بلادرنگ: دریافت داده‌ها و هشدارها از منابع معتبر مانند ISACها (مراکز تحلیل و اشتراک اطلاعات)، فهرست آسیب‌پذیری‌های شناخته شده و مورد سوءاستفاده قرار گرفته (Known Exploited Vulnerabilities – KEV) سازمان CISA و فیدهای اطلاعاتی تجاری می‌تواند حتی پیش از انتشار رسمی جزئیات آسیب‌پذیری (مشخص شدن CVE)، درباره اکسپلویت‌هایی که فعالانه استفاده می‌شوند («در طبیعت» – in the wild) هشدار دهد.

جمع‌بندی

«روزِ صفر» به آسیب‌پذیری و اکسپلویت‌هایی اشاره دارد که مدافعان برای واکنش به آن‌ها هیچ مهلتی نداشته‌اند. چون عقربه قبل از اطلاع شما شروع به حرکت کرده است، سه رکن امنیت لایه‌ای قوی، اعمال سریع راهکار (patch)‌ها و پایش مبتنی بر رفتار بهترین بیمه در برابر تهدیدات روزِ صفر هستند.