Веб-угроза, известная под именем "zero-day", названа так потому, что промежуток времени между сообщением о ее существовании и началом ее действием равен нулю. Эта угроза особенно опасна, поскольку когда она начинает действовать, у вас нет ни соответствующих патчей, ни сигнатур в IPS. В некоторых случаях производители систем защиты вообще ничего не знают о затаившейся угрозе, которая начинает действовать в определенный день. Например, в последнем отчете Symantec Research labs упоминает атака такого типа: специалисты компании рассмотрели известную атаку, которая нанесла ущерб более, чем 11 миллионам компьютеров в феврале 2008 года, и выяснили, что это вредоносное ПО было загружено на эти компьютеры в среднем за 1 год до этого, в некоторых случаях даже около 30 месяцев до начала атаки. Т.е. прошло около года до того момента, когда IT-специалисты внезапно поняли, что их сеть заражена. Более того, авторы отчета считают, что еще много угроз типа "zero-day" остались не выявленными и в определенный день могут сработать.
Мы привыкли успокаивать себя двумя тезисами: "никто не нацелился на мою компанию" и "мы обнаружим атаку "zero-day", как только соответствующая сигнатура будет доступна". Symantec предупреждает, что оба тезиса не верны.
Одна из основных причин, почему хакеры могут так долго "сидеть" в сети необнаруженными, заключается в том, что как только они оказываются там, нет эффективного метода наблюдения за ними. Большинство операторов безопасности имеют только возможности, которые им предоставляют системы IDS или другие инструменты защиты, а они не способны обнаружить затаившегося врага.
Эти инструменты прекрасно работают, когда необходимо обнаружить задокументированные ранее угрозы, но редко позволяют обнаружить атаки "нулевого дня". Для таких целей больше подходят системы обнаружения аномального и подозрительного поведения трафика, такие как Lancope StealthWatch.  При работе это устройство может последовательно отслеживать действия хакеров, включая внутреннее сканирование сети ранее незаметно установленным ПО и соединения с не задокументированными контрольно-командными хакерскими серверами, не числящимися ни в одной базе данных по IP-репутации.
Тем не менее неверно думать, что StealthWatch обеспечивает 100%-защиту от угроз "zero-day" или таргетированных атак. Эти атаки выполняются очень умными злоумышленниками, которые постоянно совершенствуются, и это соревнование между хорошими и плохими будет еще долго продолжаться. Тем не менее, StealthWatch и NetFlow  сегодня предоставляют лучшие инструменты специалистам, отвечающим за защиту сети.
Главный вопрос, который вы должны себе поставить: "Как мне своевременно обнаружить угрозу класса "zero-day"? Согласно  отчету Symantec, нечего ждать, пока основанные на сигнатурах решения по защите сети помогут вам решить проблему и нечего думать, что такие угрозы не относятся к вашей компании. В настоящее время любая организация, которая владеет какой-либо интеллектуальной ценностью, будь то даже просто тексты контрактов, списки сотрудников и технические задания, может стать объектом изощренной атаки.