Các công ty có xu hướng chỉ tập trung vá những lỗ hổng đã biết mà lờ đi nhiều mối đe dọa khác.
Nhiều chuyên gia phân tích nhận định rằng các cuộc tấn công nhắm vào những lỗ hổng chưa phổ biến đang trở thành vấn đề cho các công ty. Tuy tình hình hiện nay còn khá yên ắng nhưng nguy hiểm đến từ chúng đang lớn lên từng ngày. Cộng đồng mạng vẫn còn phản ứng hết sức sai lầm trước các mối đe dọa này. Vì hầu hết ai cũng nhận thức sai về chúng.
Các cuộc khai thác từ lỗ hổng zero-day bùng lên thời gian qua vẫn chỉ được xem là những vụ tấn công nhắm vào lỗ hổng đã biết phổ biến nhưng chưa được vá. Còn rất nhiều lỗ hổng chưa được biết đến như "object tag" (gắn đối tượng) nổi lên hồi tháng tư và gần đây hơn là Vector Markup Language (VML) trong trình duyệt web Internet Explorer của Microsoft. Cả hai được coi như thuộc kiểu zero-day vì được công khai và khai thác phổ biến trước khi Microsoft có cơ hội cung cấp bản vá lỗi.
"Theo một số lý luận chấp nhận được, các tổ chức hiện phải đối mặt với mối nguy hiểm lớn nhất khi đích nhắm của kẻ tấn công hay kẻ khai thác được kiểm chứng là 'lung tung, không thể biết trước'", Alan Shimel - trưởng phòng kế hoạch của StillSecure ở Superior (Colorado, Mỹ) nói.
Bên cạnh những lỗ hổng đã biết, một điều quan trọng không kém là các công ty cần phải trang bị cho mình ít nhất một chương trình bảo vệ trước các lỗ hổng không công khai hay "chưa đến tầm zero-day". Trong khi công ty sản xuất và người dùng còn chưa biết gì thì các hacker đã nắm trong tay cơ chế hoạt động, kế hoạch khai thác, cách thức tấn công nhắm vào nhiều lỗ hổng 'ngầm'. Thông thường các lỗ hổng này chỉ được phát hiện sau khi đã có người khai thác thành công. Việc dò tìm và ngăn chặn chúng trở nên khó khăn hơn nhiều cho một số công cụ chống malware tiêu chuẩn.
"Mọi người chỉ quan tâm đến các lỗ hổng như lỗ hổng zero-day từ khi được công bố đến khi nhà sản xuất phát hành bản vá lỗi", Shimel nói. Các công ty hiện nay vẫn có khuynh hướng tin tưởng vào các bản vá lỗi và các bản sửa chữa tương tự khi giải quyết các vấn đề bảo mật.
Định nghĩa về khai thác zero-day không bao hàm những lỗ hổng chưa biết, vốn luôn tồn tại và trở thành kẽ hở âm thầm nguy hiểm. "Tới một giai đoạn nào đó, định nghĩa này của chúng ta sẽ thay đổi. Các cuộc tấn công chưa biết sẽ được đặt vào trọng tâm", Shimel tiếp tục.
"Đây là một trong các vấn đề thuật ngữ. Zero-day là lỗ hổng đã được công khai, nhưng không phải ai cũng biết. Nó thực hiện tấn công theo kiểu 'hoang dại'", Gadi Evron - người phụ trách bảo mật của Beyond Security (một công ty ở Israel), đồng thời là thành viên của Đội phản ứng các tình huống nguy hiểm xuất phát từ zeroday (Zeroday Emergency Response Team) mới được thành lập gần đây nói.
"Zero-day là một đe dọa thực sự mặc dù được cường điệu như một từ thường dùng quen thuộc". Muốn xử lý chúng đòi hỏi các công ty phải xây dựng cơ chế bảo vệ nhiều tầng. "Bản thân việc vá các lỗ hổng này đã là một vấn đề khổng lồ. Nhưng thực sự phải nói rằng các bản vá lỗi không phải là giải pháp cho lỗ hổng zero-day. Đơn giản vì một giải pháp chỉ dành cho một lỗ hổng đã biết. Chúng ta vẫn chưa có được giải pháp nào hiệu quả tuyệt đối".
Hiểu được yếu tố tự nhiên của mối đe dọa zero-day là quan trọng, cho dù thuật ngữ dùng để định nghĩa vấn đề có như thế nào đi chăng nữa, Pete Lindstrom - chuyên gia phân tích ở Midvale, thuộc Burton Group nói. "Các chiến lược phòng vệ cần phải thay đổi nếu mối đe dọa là chưa biết. Bạn cần phải có biện pháp tốt hơn khi muốn xử lý các cuộc khai thác lén lút trên lỗi hổng chưa công khai mà chỉ có những gã tồi mới biết đến".
Theo ý kiến của trưởng phòng công nghệ công ty bảo mật Webroot Software ở Boulder, Colorado (Mỹ) - Gerhard Eschelbeck thì xác định mức bảo vệ gồm nhiều công đoạn như phân tích hoạt động mạng, xây dựng "white list" ghi lại tất cả các ứng dụng, dịch vụ mạng và thực hiện nâng cấp cho chúng. "Bạn bắt đầu nghĩ sẽ phải làm gì với mối đe dọa zero-day ngoài việc vá lỗ hổng. Sẽ phải quan tâm đến mô hình khám phá và ứng xử trong công nghiệp?. Có nhiều hiểu nhầm và thông tin sai khi định nghĩa zero-day là cái gì", Amrit Williams - chuyên gia phân tích ở Stamford của Gartner cũng nói. Nhiều kết quả nhầm lẫn là do cách thức các hãng bảo mật sử dụng thuật ngữ khi đưa lên sản phẩm của họ.
Nhưng "cho dù sử dụng tên nào thì một lớp tổng thể các cuộc khai thác chưa biết cơ sở cũng được thực hiện nâng cấp từ các lỗ hổng chưa biết". Điều đó đòi hỏi việc vá lỗi phải mở rộng phạm vi.
Trong nhiều trường hợp, các cuộc tấn công này trở nên khó bị ngăn chặn vì chúng khai thác các sai sót chỉ có kẻ tấn công mới biết. Vì thế các công ty cần phải triển khai nhanh chóng việc xác định kiểu tấn công và giới hạn độ khai thác. Có thể thực hiện các bước như phân đoạn mạng, lọc lưu lượng và sử dụng các điều khiển truy cập.
Ngay cả các tổ chức chưa từng bị tấn công theo kiểu zero-day cũng nên triển khai biện pháp trên. Tại thời điểm này, vấn đề lớn nhất các công ty gặp phải là không có bản vá lỗi cho các lỗ hổng công khai. Ví dụ như trường hợp lỗ hổng Windows Metafile hồi đầu năm nay. "Hầu hết các công ty không biết phải xử lý như thế nào khi không có bản vá lỗi cho các lỗ hổng công khai mình gặp phải". Điều này còn đau đầu và đáng kể hơn nhiều so với vấn đề của lỗ hổng không công khai.