Регистрация
Вход
Вернуться в блог
Статьи

Zero-day vs n-day

Почему нужно быть начеку.

Дата выхода: Время прочтения статьи: ~3 минуты
Zero-day vs n-day

Вступление

В информационной безопасности часто звучат два термина: zero-day и n-day. Оба связаны с уязвимостями в ПО, но между ними есть принципиальная разница, которую должен понимать любой специалист по ИБ, руководитель IT-команды или даже просто администратор.

Что такое zero-day?

Zero-day (0day) — это уязвимость, о существовании которой разработчик программного обеспечения еще не знает, а эксплойт для нее уже существует.

То есть у атакующего есть «нулевой день» преимущества — защита отсутствует, патчей нет, сигнатур в антивирусах тоже нет.

Ключевой момент: в момент эксплуатации zero-day атаки защиты фактически не существует.

Примеры из практики:

  • Stuxnet (2010) — знаменитый червь, атаковавший иранские ядерные объекты. Использовал сразу несколько zero-day уязвимостей в Windows и SCADA.
  • CVE-2021-1732 (Windows Win32k Elevation of Privilege) — активно эксплуатировалась хакерами в начале 2021 года еще до выхода патча.
  • Недавний пример (CVE-2025-7775) — zero-day в Citrix, экспулатируемая в купе с ИИ-фреймворками.

Zero-day — это оружие, которым обычно пользуются либо гос. структуры и APT-группировки, либо очень мотивированные киберпреступники.

Что такое n-day

N-day — это уязвимость, о которой уже известно, и производитель успел выпустить обновление.

n — это количество дней с момента публикации патча или раскрытия уязвимости.

Но есть нюанс: многие организации обновляются медленно, и этим с удовольствием пользуются атакующие.

Примеры из практики:

  • ProxyShell / ProxyLogon в Microsoft Exchange (2021) — патчи вышли, но тысячи серверов остались незащищенными, и волна атак прокатилась по всему миру.
  • Citrix Bleed 2 — уязвимость в Citrix NetScaler. Несмотря на быстрый релиз исправления, эксплойты для n-day атак распространялись буквально через пару дней и многие панели все еще остаются уязвимы.

Почему важно различать zero-day и n-day

  • Zero-day звучит страшнее – защиты нет, эксплойты продаются в темном интернете, а атаки точечные.
  • N-day — более распространенный риск. После выхода патча уязвимость становится достоянием общественности: исследователи пишут блоги, хакеры делают PoC, эксплойты попадают в Metasploit. И если компания не обновляется вовремя — риск стать жертвой атаки резко возрастает.

Практический вывод

  1. Не считать zero-day единственной угрозой. Они опасны, но шансов пострадать от n-day гораздо больше.
  2. Регулярный патч-менеджмент критически важен. Многие громкие инциденты происходили именно из-за игнорирования уже известных дыр.
  3. Мониторинг и реагирование. Даже при наличии обновлений нужно отслеживать активность в сети: эксплойты под n-day появляются буквально на следующий день.
  4. Threat intelligence помогает понимать, какие уязвимости уже эксплуатируются в дикой природе, и правильно расставлять приоритеты.

Итог

  • Zero-day — редкая, дорогая и часто целевая атака.
  • N-day — массовая угроза, которую используют все: от скрипт-кидди до кибермафии.

Большинство реальных инцидентов в компаниях — это не экзотический zero-day, а банальный n-day, который просто проигнорировали.

Поэтому главный совет: не оставляйте дыры открытыми. Закрывайте n-day сегодня, чтобы завтра не оказаться в заголовках новостей.

Metascan позволяет защититься от известных n-day уязвимостей, а наши эксперты имеют несколько найденных 0-day и зарегистрированных CVE.

Zero-day vs n-day | METASCAN