零日漏洞在合法的漏洞賞金計劃中受到高度重視,并獲得了高達 200 萬美元的賞金。由于不存在補丁或修復程序,即使在地下市場和暗網中,0-day 攻擊/利用也受到高度重視。它們在黑市被發現后數小時內被賣給出價最高的人。
那么為何不!零日漏洞為威脅參與者提供了一個不受保護的網關,以創建漏洞并使用它們來攻擊組織。由于安全防御要么無效要么沒有到位,攻擊成功的概率很高。在本文中,我們將深入探討 Web 應用程序中的零日漏洞(相對于系統和網絡)的含義,以及防范 0 日攻擊所需的一般安全性。
零日漏洞、利用和攻擊
零日漏洞
零日漏洞是相關方(用戶、組織、供應商和安全團隊)以前不知道的軟件、硬件、固件或代碼中的差距/錯誤配置/安全弱點/缺陷/錯誤。只有當成功的零日攻擊發生或被安全研究人員發現時,它們才會為開發人員和組織所知。
零日漏洞
零日漏洞利用是威脅參與者利用 0 日漏洞開發的代碼和/或方法。威脅行為者可能會戰略性地等待最佳部署時間,而不是立即進行攻擊。這是在組織/供應商意識到其存在之前和之日的零日漏洞利用。從這一天零開始,組織/供應商開始著手修復漏洞。
零日攻擊
當威脅參與者利用零日漏洞時,結果就是零日攻擊。這通常是當組織和公眾認識到漏洞時。典型的攻擊媒介是 Web 瀏覽器、電子郵件附件、漏洞利用工具包、網絡釣魚/魚叉式網絡釣魚電子郵件、0-day 惡意軟件等。
一般網絡安全與 Web 應用程序安全的零日
網絡安全中的零日
網絡安全(網絡安全、端點安全、系統安全等)中的零日攻擊尤其危險。這就是為什么。如果在固件中發現零日漏洞,物理設備可能會受到損害。除了禁止 USB 驅動器、阻止攻擊向量和設置防火墻,直到供應商承認并修復問題,組織無法采取太多措施來防止攻擊。一個例子是 Stuxnet 病毒,它以用于制造目的的計算機為目標。這種計算機蠕蟲通過破壞濃縮工廠中使用的機器來破壞伊朗的核計劃。
如果在您的操作系統或任何其他軟件中發現零日漏洞,您的系統/瀏覽器/IT 基礎設施仍然暴露給攻擊者,直到軟件供應商發現漏洞、開發補丁并在軟件更新中發布它。供應商發現和解決問題的時間越長,您的系統暴露時間越長,附加的風險就越大。
例如,攻擊者在 2011 年利用 Adob??e Flash Player 中未修補的漏洞攻擊安全公司 RSA。攻擊者向一小群員工發送主題為“2011 招聘計劃”的網絡釣魚電子郵件,其中包含 Excel 電子表格附件。附件中包含的惡意軟件利用零日 Flash 漏洞安裝后門——Poison Ivy 遠程管理工具——來控制計算機。使用后門,攻擊者四處窺探特權信息,然后將其導出。他們竊取了與公司 SecurID 雙因素身份驗證產品相關的敏感信息,并損害了其有效性。
Web 應用程序安全中的零日
Web 應用程序安全中的零日漏洞通常出現在新部署的代碼中。在內部開發和定制的業務應用程序和系統中,這種可能性更高。任何人都無法事先知道或報告該漏洞。在后一種情況下,報告安全漏洞的可能性較低,因為單個組織正在使用該應用程序。
如果零日漏洞存在于新部署的代碼或定制的內部應用程序中,則沒有外部供應商會提供補丁。發現和修復漏洞(在攻擊者之前)的責任在于組織及其 IT 安全團隊。他們需要在 SDLC 階段整合配備 AppTrana 等自動滲透測試功能的智能掃描工具,以識別安全漏洞和漏洞并盡早修復它們。
也有例外。組織可以在構建應用程序時使用流行的 Web 應用程序或開源庫、主題和框架、第三方組件等。在這種情況下,供應商將不得不修補漏洞。
但是,如果它是遺留系統、終止支持產品或停業供應商怎么辦?在這種情況下,Web 應用程序安全中的零日保護如何工作?在這種情況下,虛擬修補會派上用場。它為不再發布補丁或部署成本太高的應用程序和 IT 基礎設施(例如物聯網設備)提供保護。
前進的道路
鑒于其性質,基于現已過時的簽名分析模型的自動掃描工具和掃描器不可能發現零日漏洞。為了有效地發現和保護 Web 應用程序中的零日攻擊和利用,需要一個現代的、托管的和直觀的 Web 應用程序防火墻 (WAF),例如 AppTrana。