Wat is een Zero-day?
Een Zero-day is een kwetsbaarheid in software of hardware die nog niet bekend is bij de leverancier, en waarvoor dus nog geen patch of mitigatie beschikbaar is. De naam verwijst naar het feit dat de leverancier “nul dagen” heeft gehad om te reageren op de dreiging.
Zero-days zijn bijzonder gevaarlijk in OT-omgevingen omdat systemen vaak lang draaien zonder updates of Monitoring.
🎯 Kenmerken van Zero-days
| Eigenschap | Toelichting |
|---|---|
| Onbekend bij vendor | Geen officiële patch of mitigatie beschikbaar |
| Vaak actief misbruikt | Wordt door aanvallers benut vóór ontdekking door defensieve teams |
| Moeilijk te detecteren | Onttrekt zich aan standaard signature-gebaseerde detectie |
| Hoog risico | Wordt vaak ingezet bij APT-campagnes of Supply Chain-risico |
🧠 Voorbeelden in OT-context
| Kwetsbaarheid | Impact op industriële systemen |
|---|---|
| Zero-day in PLC-webinterface | Remote code execution met toegang tot machinebesturing |
| Kwetsbaarheid in firmware van HMI | Manipulatie van operatorinformatie zonder logging |
| Stuxnet-achtige exploits | Misbruik van 0-days in Windows en Siemens WinCC/Step7 |
| Zero-day in remote access appliance | Volledige toegang tot OT-netwerk via RDP/VPN |
🔐 Detectie en mitigatie
| Maatregel | Toelichting |
|---|---|
| Anomaliedetectie | Heuristiek- of gedragsgebaseerde detectie in plaats van signatures |
| Threat Intelligence feeds | Realtime waarschuwingen over actieve zero-day exploits |
| SBOM en asset tagging | Snelle analyse of kwetsbare componenten aanwezig zijn |
| Application Whitelisting | Alleen goedgekeurde binaries mogen draaien |
| Patchmanagement | Snel patchen zodra fix beschikbaar komt |
| Netwerksegmentatie | Beperkt de laterale beweging van aanvallers binnen het OT-netwerk |
| Incident Response Plan | Procedures klaar voor tijdelijke mitigatie of isolatie |
🔁 Zero-day vs. N-day
| Type | Beschrijving |
|---|---|
| Zero-day | Nog niet publiek of gepatcht |
| N-day | Publiek bekend, patch beschikbaar (maar mogelijk niet geïnstalleerd) |
Veel aanvallen misbruiken nog steeds N-day kwetsbaarheden omdat patching in OT traag of beperkt wordt uitgevoerd.
📌 Samengevat
Zero-days zijn onzichtbare dreigingen die elk systeem kunnen treffen — ongeacht hoe ‘up-to-date’ het lijkt. Voor OT-omgevingen betekent dit dat alleen patchen onvoldoende is: je hebt zicht, segmentatie, Monitoring en beleid nodig.