icon



  • icon



  • icon


icon



  • icon



  • icon


Illustration


Технологія Patchless Protection: принципи та механізми захисту

vicarius

Як це працює та коли слід використовувати

Існує проміжок часу між моментом розкриття вразливості та моментом, коли патч випускається, тестується, затверджується процесами управління змінами й зрештою впроваджується в робочому середовищі. Раніше цей проміжок вимірювався місяцями. Сьогодні він вимірюється днями.
Згідно з аналізом експлуатації вразливостей від VulnCheck за весь 2025 рік, 28,96% відомих вразливостей, що активно експлуатуються, були вперше використані до або в день публікації CVE. Дані Mandiant M-Trends показують, що медіанний час від появи вразливості до її експлуатації становить менше ніж 5 днів. Водночас згідно зі Звітом EdgeScan Vulnerability Statistics 2025, середній час усунення критичної вразливості складає 74,3 дня.
Це не просто розрив у часі. Це системна проблема, яка створює суттєву поверхню для атак.
Патчі усувають першопричину вразливості, тому вони залишаються правильним довгостроковим підходом до захисту. Проте впровадження патчів потребує часу, а саме цей час і використовують зловмисники.
Технологія Patchless Protection створена для того, щоб закрити це вікно ризику. У цій статті розглядається принцип її роботи, особливості реалізації в vRx, а також сценарії, у яких вона забезпечує найбільшу користь.

Що насправді означає Patchless Protection

Технологія Patchless Protection — це не правило міжмережевого екрана (firewall), не політика WAF і не мережевий фільтр. Вона працює на рівні процесу, безпосередньо в адресному просторі пам’яті запущеного застосунку, перехоплюючи спроби експлуатації ще до того, як вони досягнуть вразливого коду.

Термін «віртуальне патчування» (Virtual Patching) описує той самий підхід з іншого боку. Замість зміни бінарного файлу застосунку для усунення вразливості створюється захисний шар навколо вразливого коду, який нейтралізує спроби його експлуатації.

У vRx ця можливість реалізована через технологію vShield. Це власна розробка компанії, а не адаптований або перевиданий інструмент з відкритим кодом.

В основі рішення лежить Dynamic Binary Instrumentation (DBI) — технологія динамічного інструментування бінарного коду, яка дозволяє аналізувати та контролювати виконання застосунку під час роботи без внесення змін до його файлів на диску. Саме розуміння принципів DBI є ключем до розуміння того, як працює Patchless Protection.

Dynamic Binary Instrumentation (DBI): технологія в основі захисту без патчів

Illustration

DBI-фреймворки працюють у користувацькому режимі (user mode). Коли застосунок запускається або коли шар інструментування підключається до вже активного процесу, DBI-рушій перехоплює керування ще до початку виконання власного коду застосунку. Він копіює машинний код застосунку блок за блоком до окремої області пам’яті, яка називається кешем коду (code cache). Після цього весь код виконується вже з кешу, а не безпосередньо з оригінальних сторінок пам’яті.
Для безпеки це критично важливо, оскільки під час копіювання DBI-рушій може додавати додаткову логіку аналізу, виклики зворотних функцій (callbacks) або механізми блокування навколо конкретних інструкцій чи викликів функцій. При цьому сам застосунок не «бачить» цих змін. З його точки зору він продовжує працювати у звичайному режимі.
Для реалізації Patchless Protection рішення vRx використовує DBI для виявлення та перехоплення конкретних функцій, пов’язаних із відомими CVE. Коли викликається вразлива функція, спочатку спрацьовує доданий DBI-механізмом callback. Він може:
Аналізувати контекст виклику — перевіряти аргументи, стан стеку та інформацію про процес-викликач на наявність ознак експлуатації.Дозволяти або блокувати виклик — пропускати легітимні запити та блокувати ті, що відповідають відомим шаблонам атак.Сповіщати адміністратора — реєструвати подію без блокування, що особливо корисно для режимів моніторингу та оцінки ризиків. Усе це відбувається безпосередньо в оперативній пам’яті під час виконання застосунку, без змін бінарних файлів на диску та без необхідності перезавантаження системи.

Як vRx реалізує Patchless Protection: два рівні захисту

Технологія Patchless Protection у vRx одночасно працює на двох незалежних рівнях захисту.
Рівень 1: Ізоляція адресного простору пам’яті
Перший рівень захисту охоплює весь адресний простір процесу вразливого застосунку. Його завдання — обмежити доступ зовнішніх процесів і системних викликів до області пам’яті, у якій працює вразливий застосунок.
Атаки на кшталт ін’єкції в пам’ять (memory injection) або зчитування даних із пам’яті процесу (memory scraping), які використовуються для викрадення конфіденційної інформації чи впровадження шкідливого коду в адресний простір процесу, потребують можливості читати або записувати дані в ці області пам’яті.
Для протидії таким загрозам vRx обмежує відповідні шляхи доступу, застосовуючи механізми контролю на рівні операційної системи. Це дозволяє визначати, які процеси можуть взаємодіяти зі сторінками пам’яті, виділеними для захищеного застосунку, і блокувати несанкціоновані спроби доступу.

Illustration

Автономне поширення: кейс CanisterWorm

Цей рівень не аналізує вміст викликів або дані, що передаються між процесами. Його завдання — виступати захисною межею, зменшуючи поверхню атаки шляхом запобігання несанкціонованим взаємодіям із пам’яттю між процесами ще до того, як відбудеться будь-яке виконання коду.
Рівень 2: Перехоплення функцій у пам’яті
Другий рівень — це той етап, де DBI-рушій забезпечує найбільш точний і контекстний захист. Перед застосуванням Patchless Protection для конкретної CVE команда vRx аналізує вразливість, визначає функції, через які вона може бути експлуатована, а також характерні шаблони атак.
Коли вразливий застосунок завантажується в пам’ять, vRx відстежує точки входу цих функцій. Рішення визначає їхні адреси у віртуальному адресному просторі процесу, враховуючи механізм ASLR (Address Space Layout Randomization), який динамічно змінює розташування областей пам’яті.
У кожній вразливій точці входу vRx додає власний механізм інструментування. Коли виконання досягає цієї точки, callback-функція аналізує виклик. Легітимний внутрішній виклик застосунку має характеристики, які відрізняються від спроби експлуатації на рівні сигнатури функції. Наприклад, логіку захисту можуть активувати:
аргументи, що виходять за межі допустимих значень; адреси повернення, які вказують на неочікувані області пам’яті; послідовності викликів, характерні для відомих технік експлуатації.
У разі виявлення спроби атаки агент vRx може:
Заблокувати виклик у пам’яті — повернути безпечний код помилки викликачу, не допускаючи виконання вразливої операції та водночас не призводячи до аварійного завершення застосунку. Сповістити адміністратора в режимі реального часу — зафіксувати інцидент із повним контекстом для подальшого аналізу та розслідування.
Режим роботи є гнучко налаштовуваним. У середовищах, де негайне блокування може спричинити хибні спрацювання, систему можна спочатку запустити в режимі моніторингу, проаналізувати результати протягом певного часу, а потім перейти до режиму активного блокування.

Робота Patchless Protection на прикладі конкретної категорії вразливостей

Illustration

Розглянемо вразливість, пов’язану з пошкодженням пам’яті (memory corruption), наприклад переповнення буфера (buffer overflow) або use-after-free у сторонньому застосунку. Це одні з найпоширеніших категорій вразливостей, які реєструються як CVE. Типовий сценарій атаки виглядає так:
Зловмисник надсилає спеціально сформований вхідний запит до застосунку. Обсяг вхідних даних перевищує допустимий розмір буфера. Переповнення призводить до перезапису сусідніх областей пам’яті, включно з керуючими даними, такими як адреси повернення. Потік виконання перенаправляється на код, контрольований зловмисником.
За наявності vRx
На другому етапі спрацьовує DBI-інструментування, пов’язане з вразливою функцією. Система визначає, що обсяг вхідних даних перевищує безпечні межі, встановлені під час аналізу вразливості.
У результаті виклик блокується ще до того, як відбудеться переповнення буфера. Застосунок отримує контрольовану відповідь про помилку, а сама атака не досягає своєї мети:
пошкодження пам’яті не відбувається; виконання шкідливого коду не запускається; оригінальний бінарний файл застосунку залишається незмінним;легітимна робота застосунку продовжується без переривань.
Таким чином, Patchless Protection нейтралізує спробу експлуатації ще до того, як вразливість буде використана для виконання довільного коду або компрометації системи.

Рівень виконуваних файлів і бінарних компонентів

Illustration

Технологія Patchless Protection у vRx захищає не лише активний процес у пам’яті. Вона також контролює цілісність виконуваних файлів застосунку та пов’язаних із ним бінарних компонентів, зокрема DLL-бібліотек у середовищі Windows.
Чому це важливо?
Деякі вектори атак спрямовані не на процес, який уже виконується, а на файли застосунку, що зберігаються на диску. Одним із прикладів є DLL Hijacking — техніка, за якої зловмисник підміняє або перехоплює спільну бібліотеку, яку завантажує цільовий застосунок.
Якщо застосунок завантажує DLL-файл, контрольований зловмисником, шкідливий код починає виконуватися в контексті цього застосунку та отримує ті самі права доступу, що й сам процес.
vRx постійно контролює цілісність бінарних файлів захищеного застосунку та бібліотек, які він використовує. Несанкціоновані зміни цих файлів або спроби підміни їх шкідливими версіями автоматично виявляються. У таких випадках система може:
генерувати сповіщення про інцидент;блокувати завантаження скомпрометованого компонента;запобігати виконанню потенційно шкідливого коду.
Таким чином модель захисту виходить за межі контролю під час виконання (runtime) та доповнюється контролем цілісності файлів до моменту їх завантаження, забезпечуючи комплексний захист як на рівні пам’яті, так і на рівні бінарних компонентів.

Що робить vRx, коли з’являється патч

Технологія Patchless Protection є компенсуючим механізмом захисту, а не постійною заміною традиційного патч-менеджменту. Архітектура vRx побудована саме на цьому принципі.
Коли постачальник програмного забезпечення випускає перевірений патч для CVE, від якої vRx забезпечував захист, і цей патч розгортається через механізми автоматизованого патч-менеджменту vRx, платформа автоматично вимикає Patchless Protection для відповідної CVE на вже оновлених активах.
Таким чином адміністраторам не потрібно вручну відстежувати, які механізми захисту все ще необхідні, а які вже можна відключити після встановлення оновлення.
Панель керування vRx забезпечує постійну видимість стану кожного активу, зокрема:
які CVE захищені за допомогою Patchless Protection;які вразливості вже усунуті встановленими патчами;коли відбулися зміни статусу;який поточний рівень ризику для кожного активу.
Це не окремий допоміжний інструмент, що працює у фоновому режимі, а повноцінна частина процесу управління вразливостями та усунення ризиків, інтегрована в єдиний цикл ремедіації.

Illustration

Коли варто використовувати Patchless Protection

Patchless Protection не є універсальним рішенням для кожної вразливості. Найбільшу цінність ця технологія демонструє в конкретних і досить поширених операційних сценаріях.
Патч ще не існує
Виявлено критичну CVE, опубліковано proof-of-concept (PoC) або вже зафіксовано активну експлуатацію, але виробник ще не випустив виправлення.
Саме в таких ситуаціях Patchless Protection забезпечує максимальну користь. Неможливо встановити патч, якого ще не існує, але можна негайно впровадити компенсуючий механізм захисту та зменшити ризик компрометації.
Встановлення патча може порушити роботу системи
Сервери баз даних, системи промислового керування (ICS/OT) та критично важливі застарілі застосунки часто не можуть дозволити собі позапланове перезавантаження або простої.
Для впровадження патчів зазвичай потрібне вікно технічного обслуговування, яке може бути доступним лише через кілька тижнів. Patchless Protection забезпечує захист системи до моменту проведення планового оновлення.
Застаріле програмне забезпечення без можливості оновлення
Старі версії Java, застарілі фреймворки або програмне забезпечення з завершеним життєвим циклом (End-of-Life), від якого бізнес усе ще залежить, часто більше не отримують оновлень безпеки від виробника.
У таких випадках Patchless Protection стає одним із небагатьох доступних технічних механізмів захисту до моменту повної заміни або модернізації системи.
Критично важливі активи до запланованого оновлення
Сервер, доступний з Інтернету, на якому працює програмне забезпечення з нещодавно виявленою критичною CVE, становить значно вищий ризик, ніж ізольована внутрішня робоча станція з тією самою вразливістю.
Система оцінки ризиків vRx враховує критичність активу, рівень його доступності ззовні та ймовірність експлуатації вразливості. На основі цих даних платформа може автоматично застосовувати Patchless Protection для найпріоритетніших активів, тоді як менш ризикові системи очікують стандартного циклу оновлення.

Що Patchless Protection не робить

Важливо чітко розуміти межі можливостей цієї технології.
Patchless Protection не усуває саму вразливість. Вразливий код залишається в застосунку. Якщо захисний механізм буде вимкнено або видалено, вразливість знову стане доступною для експлуатації. Саме тому процес встановлення патчів залишається ключовою частиною стратегії кіберзахисту.
Технологія найбільш ефективна для категорій вразливостей, де сценарії експлуатації добре відомі та можуть бути виявлені на рівні викликів функцій, зокрема:
переповнення буфера (Buffer Overflow); use-after-free; атаки типу injection; підвищення привілеїв через конкретні системні виклики.
Для деяких класів вразливостей, особливо тих, де шкідлива активність важко відрізняється від легітимної поведінки застосунку, застосування Patchless Protection може підвищувати ризик хибних спрацювань. У таких випадках реалізація захисту є значно складнішою.
vRx застосовує Patchless Protection вибірково — лише для тих CVE, де технічний аналіз підтверджує ефективність такого підходу. Тому не кожна вразливість у середовищі матиме доступний механізм Patchless Protection.
Натомість захист надається для найбільш критичних випадків — вразливостей, які:
становлять найвищий ризик для організації; активно експлуатуються зловмисниками; складно або неможливо швидко усунути традиційними методами патч-менеджменту.
Технічні вимоги
Patchless Protection у vRx працює через агент vRx, який має бути встановлений на кінцевій системі.
DBI-рушій функціонує в користувацькому режимі (User Mode) і не потребує доступу до ядра операційної системи. Це знижує ризики нестабільності системи та спрощує впровадження рішення.
Управління захистом здійснюється централізовано через хмарну платформу vRx. Коли для нової CVE стає доступним механізм Patchless Protection, відповідне оновлення автоматично доставляється на агенти.
Після розгортання агента додаткова ручна конфігурація на рівні кінцевих систем не потрібна — усі політики та оновлення застосовуються централізовано через платформу vRx.
Як активувати Patchless Protection

У платформі vRx статус Patchless Protection відображається окремо для кожної CVE та кожного застосунку. Якщо для певної вразливості доступний захист без патчів, його можна активувати одним натисканням.

Для організацій, які вже використовують vRx

Відфільтруйте список CVE за параметром «Patchless Protection Available», щоб швидко визначити, які вразливості у вашому середовищі можуть бути захищені негайно, незалежно від наявності офіційного патча.

Для організацій, які оцінюють vRx

Patchless Protection є невід’ємною частиною платформи vRx і не потребує придбання окремих модулів. Повний перелік підтримуваних застосунків та операційних систем доступний у каталозі застосунків і ОС платформи vRx.

Підсумок

Час між появою вразливості та її усуненням скорочується для зловмисників, але не скорочується достатньо швидко для захисників. Ця асиметрія є системною проблемою: корпоративні середовища фізично не можуть оперативно усувати понад сотню нових CVE щодня, особливо коли багато з них починають експлуатуватися майже одразу після розкриття.

Patchless Protection не змінює цієї реальності. Натомість технологія дозволяє закрити період підвищеного ризику за допомогою технічно обґрунтованого компенсуючого механізму захисту, який не потребує модифікації застосунку та не вимагає проведення позапланових робіт із його оновлення.

Практика показує, що найбільшу ефективність Patchless Protection демонструє як частина єдиного процесу управління вразливостями. Коли захист без патчів і традиційний патч-менеджмент працюють у межах однієї платформи, перехід від тимчасового компенсуючого контролю до повного усунення вразливості відбувається автоматично, прозоро, контрольовано та з можливістю аудиту кожного етапу.

Поширені запитання

  • Ні. Захист застосовується безпосередньо до процесу, який виконується в пам’яті, і не змінює бінарні файли на диску. Тому перезавантаження системи не потрібне.

  • vRx підтримує режим моніторингу (Monitor Mode), у якому система лише реєструє події та надсилає сповіщення без блокування активності. Це дозволяє командам безпеки проаналізувати поведінку застосунків і оцінити потенційні ризики перед переходом до режиму активного блокування на критично важливих системах.

  • Ні. vRx застосовує Patchless Protection вибірково — лише для тих вразливостей, щодо яких технічний аналіз підтверджує можливість надійної та безпечної реалізації такого захисту.

  • Ні. Patchless Protection є компенсуючим механізмом контролю, який допомагає знизити ризик у період між розкриттям вразливості та впровадженням офіційного виправлення.

    Після встановлення перевіреного патча через платформу vRx захист Patchless Protection для відповідної CVE автоматично вимикається на оновленому активі.

  • Наразі Patchless Protection у vRx забезпечує захист різних застосунків у середовищах Microsoft Windows через агент vRx.

Дізнатись детальніше про можливості рішення Vicarius

Платформа Vicarius допомагає організаціям централізовано керувати вразливостями та швидко усувати ризики в ІТ-інфраструктурі.
Рішення дозволяє:
● виявляти вразливості у режимі реального часу● пріоритизувати ризики з урахуванням контексту інфраструктури● автоматизувати патчинг операційних систем і застосунків● застосовувати patchless-захист, коли офіційний патч ще відсутній● використовувати скрипти для швидкого усунення типових проблем● отримувати звітність для керівництва та аудитів

Більше про можливості Vicarius

Замовити демонстрацію рішення Vicarius

Хочете побачити, як Vicarius допомагає швидше виявляти та усувати вразливості?
Залиште заявку — і ми проведемо демонстрацію платформи та покажемо, як її можна застосувати у вашій інфраструктурі.

Форма для замовлення демо

Дякуємо, ми отримали ваше повідомлення і звʼяжемось в найближчий час! :)


Can't send form

Please try again later.

ST&T — ваш надійний дистриб'ютор кібербезпеки

cll.tts%40ofni

ST&T — ваш надійний дистриб'ютор кібербезпеки

cll.tts%40ofni