什么是零日攻击?
什么是零日攻击?
什么是零日漏洞或利用?
零日(或 0 天)漏洞是未知且供应商不知道的软件中的安全风险。零攻击是攻击者用于访问易受攻击系统的方法。这些都是严重的安全威胁,成功率很高,因为企业没有防御措施来检测或预防它们。
所谓的零日攻击是因为它发生在目标意识到漏洞存在之前。攻击者在开发人员或供应商有机会创建补丁以修复漏洞之前发布恶意软件。
在这种零日攻击定义的背景下,“零日”一词来自盗版数字媒体的世界。当电影、音乐或软件在同一时间或正式发布之前可用时,盗版版本被称为“零日”。换句话说,盗版版本在正式版本发布后零天发布。
零日攻击始于黑客发现零日漏洞,这是目标尚未发现的代码或软件错误。然后,攻击者利用零日攻击方法,利用现有漏洞。
零日利用的工作原理
零日攻击始于软件开发人员发布被恶意行为者发现和利用的易受攻击代码。然后,攻击要么成功,这可能会导致攻击者身份或信息被盗,要么开发人员创建补丁来限制其传播。一旦编写并应用补丁,漏洞就不再被称为零日漏洞。
从漏洞引入安全补丁,安全研究人员 Leyla Bilge 和 Tudor Dumitras 将零日利用的时间表分为七个独立阶段。具体如下:
第 1 阶段
引入漏洞:开发人员开发的软件在没有意识到的情况下包含易受攻击的代码。
第 2 阶段
已释放利用:恶意行为者在开发人员意识到漏洞存在之前或在他们能够修复或修补漏洞之前发现漏洞。然后,黑客在漏洞仍然打开时编写和部署漏洞代码。
第 3 阶段
发现漏洞:供应商意识到漏洞,但没有可用的补丁。
第 4 阶段
披露的漏洞:供应商和/或安全研究人员公开宣布漏洞,告知用户和攻击者其存在。
第 5 阶段
发布的防病毒签名:如果攻击者针对漏洞创建了零日恶意软件,反病毒供应商可以快速识别其签名并提供防御。但是,如果有其他利用漏洞的方法,系统可能会保持暴露状态。
第 6 阶段
安全补丁已发布:供应商发布公共修复程序以关闭漏洞。这需要多长时间才能到达,这取决于其开发过程中的复杂性和优先级。
第 7 阶段
安全补丁部署已完成:发布安全补丁无法提供即时修复,因为用户可能需要时间来部署它。因此,组织和个人用户应打开自动软件更新,并注意更新通知。
系统很容易在整个过程中从第 1 阶段到第 7 阶段受到攻击,但零日攻击只能在第 2 阶段和第 4 阶段之间发生。如果漏洞仍未得到保护,可能会发生进一步攻击。零日攻击很少被快速发现,以防止重大损害。开发人员通常可能需要数天、数月甚至数年才能意识到漏洞的存在,并导致攻击数据泄露。
零日威胁示例
零日攻击可能随时发生在任何公司身上,通常没有他们意识到。备受瞩目的零日攻击示例包括:
索尼图片: 可能最著名的零日攻击破坏了索尼网络,并导致其在文件共享网站上发布了敏感数据。2014 年底,这次攻击导致有关即将上映的电影、公司商业计划和高级管理人员的个人电子邮件地址的信息泄露。
RSA: 另一个高度公开的零日攻击发现,黑客在 2011 年使用 Adobe Flash Player 中的未修补漏洞来访问安全公司 RSA 的网络。攻击者向 RSA 员工发送了附带 Excel 电子表格的电子邮件,其中包含利用零日漏洞的嵌入式 Flash 文件。当员工打开电子表格时,它使攻击者能够远程控制用户的计算机,他们用来搜索和窃取数据。事实证明,这些信息与其 SecurID双因素身份验证产品有关,员工使用这些信息访问敏感数据设备。
Aurora 运营:2009 年,零日漏洞攻击针对了全球 20 多家主要组织的知识产权,包括 Adobe Systems、Blackberry、Dow Chemical、Google、Morgan Stanley 和 Yahoo。它利用了 Internet Explorer、各种其他 Windows 软件版本和 Perforce 中的漏洞,Google 用来管理其源代码。这次攻击旨在访问和修改高科技组织的源代码存储库。
点击查看大图
零日攻击预防和减少
虽然根据其定义,零日攻击是无法修补的,但有些方法允许组织确保零日攻击预防以及如何减少这些攻击。
如何防范零日攻击?
漏洞扫描
扫描漏洞的解决方案可以模拟对软件代码的攻击,检查代码是否存在错误,并尝试查找软件更新中引入的新问题。然而,这种方法无法检测所有零日漏洞,仅扫描还不够。企业需要根据扫描结果快速采取行动并审查代码,以防止漏洞。
补丁管理
补丁管理:在发现软件漏洞后尽快部署软件补丁可以降低攻击风险。但是,如果黑客比部署补丁更快地创建攻击,则无法阻止攻击。补丁程序花费的时间越长,零日攻击发生的风险就越高。
输入验证
输入验证:输入验证或数据验证是对应用程序或用户提供的任何输入进行适当测试,以防止不当形成的数据进入系统。它通过漏洞扫描和补丁管理流程来保护组织,并使其能够实时响应新的威胁。防止零日攻击的最佳方法之一是在网络边缘部署Web 应用防火墙 (WAF),以查看传入的流量并过滤掉可能针对安全漏洞的恶意输入。
零日计划
零日计划是一项计划,旨在奖励安全研究人员披露漏洞,而不是在黑市上销售漏洞。其目的是创建一个漏洞研究人员社区,在黑客之前发现软件问题。此外,组织还提供漏洞赏金计划,以补偿个人向他们报告漏洞的情况。
如何降低零日漏洞
为了警惕零日攻击的威胁,企业必须制定策略。
随时了解最新信息
积极主动并随时了解威胁趋势中的最新风险是防止零日攻击的重要第一步。这包括部署全面的安全软件,以阻止已知和未知的威胁。它还包括员工练习安全可靠的在线习惯,并为其浏览器和系统配置安全设置。FortinetFortiGuard Labs团队致力于发现新出现的威胁,并在此类威胁给组织带来安全问题之前为 Fortinet 解决方案提供即时保护。
执行系统更新
确保系统是最新的,对于保护企业免受零日攻击的风险至关重要。这包括安装最新功能、删除过时或失效的功能、更新驱动程序、修复漏洞以及填补潜在的安全漏洞。
使用下一代防火墙
传统反病毒软件无法有效保护企业免受零日威胁。相反,企业需要寻找阻止未知零日恶意软件的解决方案。Fortinet下一代防火墙通过结合更深入的检测功能来识别高级攻击、恶意软件和威胁, 从而实现这一目标。它不仅可以阻止恶意软件,还可以灵活地随着威胁趋势的发展而发展,并在出现新威胁时确保组织网络的安全。
零日攻击常见问题解答
零日攻击是什么意思?
所谓的零日攻击是因为它发生在目标意识到漏洞存在之前。
我们能否防止零日攻击?
是的,如果公司对零日攻击的威胁保持警惕,企业必须制定策略。
最近的零日攻击是什么?
零日攻击可能随时发生在任何公司身上,通常没有他们意识到。备受瞩目的零日攻击示例包括:
索尼图片:可能最着名的零日攻击破坏了索尼网络,并导致其在文件共享网站上发布了敏感数据。2014 年底,这次攻击导致有关即将上映的电影、公司商业计划和高级管理人员个人电子邮件地址的信息泄露。
RSA:另一个高度公开的零日攻击发现,黑客在 2011 年使用 Adobe Flash Player 中的未修补漏洞来访问安全公司 RSA 的网络。攻击者向 RSA 员工发送了随附 Excel 电子表格的电子邮件,其中包含利用零日漏洞的嵌入式 Flash 文件。当员工打开电子表格时,它使攻击者能够远程控制用户的计算机,他们用来搜索和窃取数据。事实证明,这些信息与其 SecurID 双因素身份验证产品有关,员工使用这些信息访问敏感数据设备。
Aurora 运营:2009 年,零日漏洞攻击针对了全球 20 多家主要组织的知识产权,包括 Adobe Systems、Blackberry、Dow Chemical、Google、Morgan Stanley 和 Yahoo。它利用了 Internet Explorer、各种其他 Windows 软件版本和 Perforce 中的漏洞,Google 用来管理其源代码。这次攻击旨在访问和修改高科技组织的源代码存储库。