Kyberturvallisuusyhtiö WithSecure on kehittänyt uuden, ennakoivan tavan tunnistaa nollapäivähaavoittuvuuksia hyödyntämällä päätelaitteiden käyttäytymistelemetriaa. Yrityksen mukaan kyseessä on merkittävä läpimurto, joka siirtää haavoittuvuuksien tunnistamisen reaktiivisesta mallista kohti ennakoivaa analytiikkaa – jopa ennen kuin haavoittuvuus on yleisesti tiedossa tai hyväksikäytetty.
Uusi lähestymistapa yhdistää Endpoint Detection and Response (EDR) -ratkaisun tuottamat käyttäytymistiedot altistumisen hallintaan (Exposure Management). Teknologia perustuu siihen, että järjestelmän sisäistä käyttäytymistä – kuten poikkeavaa prosessien toimintaa tai epätavallista tiedostojen käsittelyä – voidaan analysoida mahdollisten hyväksikäyttöpolkujen tunnistamiseksi.
- Tuloksemme osoittavat, että käyttäytymistiedoilla on hyödyntämätöntä potentiaalia, ei vain aktiivisten hyökkäysten havaitsemisessa, vaan myös taustalla olevien ohjelmistojen haavoittuvuuksien paljastamisessa ennen kuin ne ovat laajalti tiedossa, sanoo WithSecuren Principal Researcher Jarno Niemelä.
Käytännössä tekniikka mahdollistaa sekä olemassa olevien haavoittuvuuksien todentamisen käytännön tasolla – eli missä järjestelmissä ne ovat todella hyväksikäytettävissä – että täysin uusien nollapäivähaavoittuvuuksien löytämisen. Tähän mennessä WithSecure on tunnistanut jo noin sata mahdollisesti uutta haavoittuvuutta, joista osa on vahvistettu ja raportoitu ohjelmistovalmistajille.
Ensimmäinen löydös, WITH-ZD-2025-0001, sai virallisen paikkauksen FileWave-ohjelmiston versiopäivityksessä. Tämä osoittaa mallin kyvyn tunnistaa haavoittuvuuksia vain niissä olosuhteissa, joissa ne ovat todella vaarallisia – mikä vähentää väärien hälytysten määrää merkittävästi.
Uutta teknologiaa ollaan integroimassa osaksi WithSecure Elements Exposure Management -ratkaisua vuoden 2025 aikana. Jo nyt käytössä oleva WithSecure Elements EDR on saanut tunnustusta tehokkuudestaan, muun muassa AV-TESTin arvioinneissa, joissa se onnistui havaitsemaan monimutkaisia hyökkäyksiä kehittyneiltä uhkatoimijoilta.