zero-day หมายถึง สิ่งที่เกี่ยวกับช่องโหว่ทีีไม่รู้จักมาก่อน บริษัทผู้ผลิตไม่รู้ว่ามีช่องโหว่ในซอฟต์แวร์หรือฮาร์ดแวร์ของคอมพิวเตอร์หรือเครื่องอิเล็กทรอนิกส์มาก่อนหน้านี้ ในช่วงเวลานี้และก่อนที่บริษัทผู้ผลิตได้แก้ไขช่องโหว่ที่แฮกเกอร์หรือผู้ไม่หวังดีสามารถใช้ช่องโหว่นี้ในการเข้ามาทำให้ระบบเสียหายได้ เมื่อบริษัทผู้ผลิตจะรีบเร่งพัฒนาซอฟท์แวร์อัฟเดตแก้ไขช่องโหว่ให้เร็วที่สุดในส่วนใหญ่คำนี้จะเขียนที่ในรูปแบบ zero-day vulnerbility แปลว่าช่องโหว่ซีโรเดย์
(ตัวอย่าง Apple has updated its mobile software to fix three zero-day software flaws.
อธิบายหรือแปลได้ว่าบริษัทแอปเปิ้ลได้อัฟเดตซอฟต์แวร์เพื่อซ้อมข้อผิดพลาดของซอฟท์แวร์ที่มีช่องโหว่ที่ไม่รู้จักมาก่อนสามข้อผิดพลาด)
ปัญหาช่องโหว่ความปลอดภัยแบบ Zero-Day หรือช่องโหว่ที่แฮ็กเกอร์ค้นพบ แล้วสร้างมัลแวร์โจมตีผ่านช่องโหว่นั้นโดยที่ผู้พัฒนาซอฟต์แวร์ไม่ทราบมาก่อน กำลังเป็นเรื่องใหญ่มากขึ้นเรื่อยๆ โดยเฉพาะซอฟต์แวร์ยอดนิยมที่ใช้กันในวงกว้าง ตัวอย่างล่าสุดในปีนี้คือ กรณีของ Flash Player จากช่องโหว่ที่ค้นพบโดย Hacking Team
ความร้ายแรงของช่องโหว่แบบ Zero-Day คือผู้ใช้ไม่มีหนทางป้องกันตัวอย่างสิ้นเชิง เนื่องจากไม่มีใครอื่นนอกจากแฮ็กเกอร์ที่รู้จักช่องโหว่นี้ ในหลายกรณีผู้ใช้แทบไม่รู้ด้วยซ้ำว่าตัวเองถูกโจมตี และต่อให้รู้ก็ไม่สามารถทำอะไรได้ เพราะต้องรอผู้พัฒนาซอฟต์แวร์ทราบข่าวการโจมตีก่อน แล้วจึงออกแพตช์แก้ให้ และจากสถิติที่ผ่านมา การรอแพตช์จากผู้พัฒนาซอฟต์แวร์มักต้องใช้เวลาหลายวัน หรือหลายครั้งเป็นหลักเดือนด้วยซ้ำ
บริษัทซอฟต์แวร์ความปลอดภัยเกือบทุกราย พยายามแก้ปัญหานี้ด้วยระบบตรวจจับมัลแวร์ที่ฉลาดขึ้น สามารถบล็อคการทำงานของมัลแวร์ที่ใช้ช่องโหว่เดียวกันที่ค้นพบในภายหลัง ระหว่างที่ต้องรอแพตช์จากผู้พัฒนาซอฟต์แวร์นั้นๆ
อย่างไรก็ตาม ข้อจำกัดเรื่องการใช้ช่องโหว่แบบ Zero-Day ทำให้บริษัทความปลอดภัยต้อง “ค้นพบ” มัลแวร์หน้าใหม่เหล่านี้ก่อน ปัจจุบันกระบวนการตรวจจับมัลแวร์ไม่สามารถใช้แนวทางการตรวจสอบ “รูปแบบ” (pattern หรือ signature) ของมัลแวร์หน้าใหม่ได้อีกแล้ว เนื่องจากมัลแวร์สามารถกลายพันธุ์ได้ตลอดเวลาเพื่อให้ระบบความปลอดภัยตรวจจับไม่ได้ แนวทางที่ยอมรับกันในปัจจุบันคือปล่อยให้มัลแวร์เข้ามารันใน “sandbox” ซึ่งเป็นคอมพิวเตอร์เสมือน (VM) ที่จำลองการทำงานของคอมพิวเตอร์จริงๆ ใช้ระบบปฏิบัติการยอดนิยมอย่าง Windows XP/7/8 เพื่อดูพฤติกรรมของไฟล์ต้องสงสัยว่าเป็นมัลแวร์หรือไม่
กระบวนการนี้ต้องใช้เวลาขั้นต่ำประมาณ 1-2 วันแล้วแต่กรณี ซึ่งช่องว่างเวลา (gap time) ระหว่างการตรวจพบมัลแวร์ใหม่ จนถึงการอัพเดตฐานข้อมูลมัลแวร์เพื่อบล็อคไฟล์ลักษณะเดียวกัน กลายเป็นโอกาสให้มัลแวร์ Zero-Day เหล่านี้ใช้แพร่กระจายและโจมตีเครื่องคอมพิวเตอร์อื่นๆ ในองค์กรได้ ถ้าหากมัลแวร์ตัวนั้นเลือกโจมตีด้วยการเข้ารหัสข้อมูล (ransomware) ความเสียหายที่เกิดขึ้นย่อมกระจายเป็นวงกว้าง เพราะไม่ได้มีคอมพิวเตอร์เครื่องเดียวที่ติด ransomware แต่อาจหมายถึงคอมพิวเตอร์ของทั้งองค์กรที่ส่งต่อไฟล์มัลแวร์กันไปเรื่อยๆ ทางระบบอีเมลงานภายใน
บริษัทความปลอดภัย Trend Micro หาทางแก้ปัญหา gap time ดังกล่าว โดยร่นเวลารอการสร้างไฟล์ signature จาก 1-2 วันลงมาเหลือแค่ 1-2 ชั่วโมง เทคนิคที่ Trend Micro ใช้งานคือนำระบบตรวจจับข้อมูล Deep Discovery ที่เดิมทีเก็บไว้บนเซิร์ฟเวอร์ของ Trend Micro เท่านั้น ย้ายมาอยู่ที่ระบบรักษาความปลอดภัยของลูกค้าที่ซื้อโซลูชันนี้เลย ระบบแบบใหม่นี้มีชื่อเรียกว่า Connected Threat Defense
กระบวนการทำงานของ Connected Threat Defense คือระบบ sandbox ของ Trend Micro จะรันไฟล์ต้องสงสัยที่ถูกส่งเข้ามาในองค์กรผ่านช่องทางต่างๆ (เช่น อีเมล) เพื่อทดสอบว่าเป็นมัลแวร์หรือไม่ ซึ่งกระบวนการนี้จะใช้เวลาประมาณ 15-20 นาที (เหตุที่ต้องรอก็เพื่อป้องกันมัลแวร์ประเภทหน่วงเวลา ไม่แสดงตัวว่าประสงค์ร้ายในทันที) ถ้าหากพบว่าไฟล์ดังกล่าวมีพฤติกรรมต้องสงสัย ระบบ Deep Discovery จะสร้างไฟล์ signature ของไฟล์นั้น (เป็น hash แบบ SHA-1) แล้วกระจายไฟล์ signature ไปยังระบบสแกนมัลแวร์ทุกตัวของ Trend Micro ที่อยู่ภายในองค์กรนั้น (เช่น โปรแกรม OfficeScan Endpoint Protection) เพื่อให้ความคุ้มครองทุกอุปกรณ์ (endpoint) ในองค์กร
เมื่อซอฟต์แวร์อื่นของ Trend Micro ได้รับไฟล์ signature ใหม่ (ค่าดีฟอลต์อัพเดตทุก 1 ชั่วโมง) ก็จะสามารถสกัดกั้นมัลแวร์ตัวเดียวกันที่ถูกส่งเข้ามาเป็นไฟล์ที่สอง (หรือไฟล์เดิมที่ส่งไปยังเครื่องคอมพิวเตอร์เครื่องที่สอง) ไม่ให้รันและสร้างความเสียหายได้ ถือเป็นการจำกัดความเสียหายของมัลแวร์ไม่ให้แพร่กระจาย และลด gap time ของการตรวจพบ (detection) จาก 2 วันมาเหลือแค่ 1-2 ชั่วโมงเท่านั้น ส่วนในขั้นต่อไปก็คือรอการตรวจสอบจาก Trend Micro อย่างละเอียดตามกระบวนการปกติ
