在當(dāng)今的數(shù)字市場(chǎng)中，幾乎沒有一個(gè)組織不依賴軟件或“互聯(lián)網(wǎng)”。這種依賴帶來了一定程度的脆弱性。與現(xiàn)實(shí)世界中的惡意行為者相比，當(dāng)今的企業(yè)更有可能被網(wǎng)絡(luò)犯罪分子中斷其運(yùn)營(yíng)。零日攻擊尤其令人恐懼，因?yàn)樗鼈優(yōu)楹诳吞峁┝死@過典型網(wǎng)絡(luò)安全防御的獨(dú)特機(jī)會(huì)。?在本文中，了解什么是零日漏洞以及如何防御攻擊。

什么是零日漏洞？

零日攻擊是指黑客在開發(fā)人員有機(jī)會(huì)發(fā)布漏洞修復(fù)程序之前發(fā)布惡意軟件——因此是零日攻擊。零日漏洞是指軟件中新發(fā)現(xiàn)的漏洞。由于開發(fā)人員剛剛發(fā)現(xiàn)漏洞，解決問題的補(bǔ)丁或安全更新尚未發(fā)布。在零日攻擊中，軟件供應(yīng)商是被動(dòng)的，而不是主動(dòng)的。他們只有在出現(xiàn)問題時(shí)才能做出反應(yīng)。當(dāng)黑客利用漏洞窗口然后使用該漏洞發(fā)起直接攻擊時(shí)，就會(huì)發(fā)生零日攻擊。零日漏洞利用如此危險(xiǎn)的原因在于，唯一知道它們的人是攻擊者自己。黑客可以立即發(fā)起攻擊，也可以利用他們對(duì)弱點(diǎn)的了解，等待合適的時(shí)機(jī)發(fā)動(dòng)攻擊。

零日攻擊如何運(yùn)作？

零日漏洞利用多種機(jī)制起作用。通常，它們涉及針對(duì)帶有惡意軟件的軟件系統(tǒng)。惡意軟件集成到現(xiàn)有的軟件層中，并阻止它執(zhí)行其正常功能。惡意軟件的滲透非常容易。黑客通常會(huì)以網(wǎng)站鏈接的形式偽裝惡意軟件。用戶只需點(diǎn)擊一個(gè)網(wǎng)站鏈接，他們就會(huì)自動(dòng)開始下載有問題的軟件。當(dāng)黑客找到一種方法來利用 Web 瀏覽器中未修補(bǔ)的漏洞時(shí)，通常會(huì)發(fā)生此類下載。

例如，假設(shè)您的瀏覽器剛剛更新其軟件以添加更多功能。您在瀏覽器上登錄您信任的網(wǎng)站，然后單擊您認(rèn)為有效的鏈接。但是，該鏈接包含惡意代碼。在補(bǔ)丁之前，您的瀏覽器會(huì)阻止鏈接自動(dòng)將軟件下載到您的計(jì)算機(jī)上。但是，由于修補(bǔ)后瀏覽器代碼的變化，下載開始了。然后，您的計(jì)算機(jī)會(huì)被感染。幾小時(shí)后，這家瀏覽器公司發(fā)布了一個(gè)新補(bǔ)丁，以防止其他人被感染。然而，對(duì)你來說，已經(jīng)太晚了。

誰(shuí)是目標(biāo)？

零日攻擊針對(duì)知名企業(yè)和政府，但它們可以攻擊任何人。例如，零日漏洞利用 Stuxnet 在 2010 年試圖破壞伊朗核計(jì)劃。許多人認(rèn)為以色列和美國(guó)是這次襲擊的幕后黑手。Stuxnet 包含許多人以前從未見過的新形式的利用。例如，新的電子郵件軟件可能無法過濾掉虛假地址。這可能會(huì)使人們受到各種類型的網(wǎng)絡(luò)釣魚攻擊。黑客可能會(huì)嘗試竊取有價(jià)值的信息，例如銀行卡詳細(xì)信息或密碼。

如何防止零日漏洞利用？

許多組織和個(gè)人認(rèn)為，阻止零日攻擊的方法并不多。這并不完全正確。看看這些提示并學(xué)習(xí)預(yù)防策略。

使用最新的高級(jí)安全軟件

許多基本的防病毒軟件解決方案的問題在于它們只擅長(zhǎng)防御已知威脅。當(dāng)威脅未知時(shí)——就像它們?cè)诹闳展糁幸粯印敲此鼈兛赡軙?huì)失敗。只有世界上最先進(jìn)的安全軟件才能防止來自未知來源的黑客攻擊。始終保持軟件最新是必不可少的。

確保安全軟件是最新的

供應(yīng)商可能不會(huì)總是公開披露他們是否是零日攻擊的受害者。這就是為什么必須在新軟件更新可用時(shí)立即安裝它們的原因。它們可以保護(hù)您的組織免受軟件供應(yīng)商發(fā)現(xiàn)的威脅。

教授安全的在線安全習(xí)慣

許多零日攻擊利用人為錯(cuò)誤。例如，惡意行為者可能會(huì)使用虛假電子郵件針對(duì)員工。這些電子郵件可能包含感染了惡意軟件的文檔或鼓勵(lì)他們交出敏感信息。因此，聰明的組織會(huì)嚴(yán)格執(zhí)行安全習(xí)慣，以幫助員工保持在線安全。

安裝主動(dòng)安全防御

智能安全軟件有時(shí)可以使用過去違規(guī)的數(shù)據(jù)庫(kù)來阻止未知威脅。這些數(shù)據(jù)可以與當(dāng)前的攻擊相關(guān)聯(lián)以檢測(cè)威脅。尋找可以防御已知和未知來源攻擊的軟件。

實(shí)施網(wǎng)絡(luò)訪問控制

網(wǎng)絡(luò)訪問控制是一種防止未經(jīng)授權(quán)的機(jī)器訪問組織網(wǎng)絡(luò)的工具。

使用 IPsec

IPsec 對(duì)所有網(wǎng)絡(luò)流量進(jìn)行加密和驗(yàn)證。這允許系統(tǒng)快速識(shí)別和隔離非網(wǎng)絡(luò)流量。

部署 Web 應(yīng)用程序防火墻

Web 應(yīng)用程序防火墻是一種有助于保護(hù)鏈接到 Web 服務(wù)器的計(jì)算機(jī)的防火墻。防火墻的目的是不斷掃描傳入的數(shù)據(jù)包以查找威脅。希望通過使用 Web 應(yīng)用程序防火墻，公司可以實(shí)時(shí)做出反應(yīng)。借助掃描儀，公司可以立即壓制其平臺(tái)上的可疑活動(dòng)。

使用內(nèi)容威脅刪除

內(nèi)容威脅清除是一種檢測(cè)技術(shù)，它假定所有數(shù)據(jù)都具有威脅性。該系統(tǒng)的工作原理是拆除通過網(wǎng)絡(luò)傳入的所有數(shù)據(jù)并丟棄它認(rèn)為是惡意的任何內(nèi)容。這個(gè)想法是基于危險(xiǎn)對(duì)象的數(shù)據(jù)庫(kù)丟棄原始數(shù)據(jù)中任何可能不安全的東西。

制定恢復(fù)策略

即使采用上述所有方法，組織也不太可能消除零日攻擊的威脅。因此，組織必須為更糟的情況做好準(zhǔn)備，以便他們能夠做出反應(yīng)。制定災(zāi)難恢復(fù)策略至關(guān)重要。災(zāi)難恢復(fù)策略可以減輕違規(guī)造成的損害。大多數(shù)公司確保他們擁有所有數(shù)據(jù)的云備份。如果發(fā)生違規(guī)事件，他們的數(shù)據(jù)是安全的，他們可以像往常一樣繼續(xù)他們的操作。

零日漏洞檢測(cè)

組織需要能夠快速檢測(cè)攻擊。安全專業(yè)人員有四種方法來識(shí)別零日攻擊。

• ?可以部署統(tǒng)計(jì)分析來分析攻擊的可能性和可能的??來源。
• 基于簽名的.?可以檢查來自過去攻擊的先前數(shù)據(jù)并確定當(dāng)前數(shù)據(jù)模式是否發(fā)出威脅信號(hào)。如果他們這樣做了，那么攻擊可能正在進(jìn)行中。
• 行為分析。通過研究惡意行為者的行為，看看它是否發(fā)生了變化。如果來自可疑黑客實(shí)體的模式與平時(shí)不同，則可能是攻擊的跡象。
• 組合計(jì)分系統(tǒng)。通過將所有方法組合到一個(gè)評(píng)分系統(tǒng)中，評(píng)分確定了違規(guī)的可能性。

最近的零日攻擊

零日攻擊在最近的歷史中很常見。看看以下案例：

• Adobe Flash 播放器，2016 年。2016 年，Adobe Flash 發(fā)生了零日攻擊。黑客獲得了控制讀寫內(nèi)存的能力。
• 微軟辦公軟件，2017 年。2017 年，黑客發(fā)現(xiàn)富文本格式的文檔可以打開 Visual Basic 腳本。然后該腳本可用于打開 PowerShell 命令。
• 窗戶。一名谷歌員工發(fā)現(xiàn) Windows 存在零日漏洞。該員工隨后公開表示，微軟的旗艦產(chǎn)品代碼存在缺陷已超過 20 年。
• 爪哇。?Java 是 Microsoft 和 Apple 用于創(chuàng)建其產(chǎn)品的平臺(tái)。Java 最近發(fā)布了一個(gè)修復(fù)程序，旨在克服該平臺(tái)的一些嚴(yán)重的零日安全漏洞。