在当今的数字市场中,几乎没有一个组织不依赖软件或“互联网”。这种依赖带来了一定程度的脆弱性。与现实世界中的恶意行为者相比,当今的企业更有可能被网络犯罪分子中断其运营。零日攻击尤其令人恐惧,因为它们为黑客提供了绕过典型网络安全防御的独特机会。 在本文中,了解什么是零日漏洞以及如何防御攻击。
什么是零日漏洞?
零日攻击是指黑客在开发人员有机会发布漏洞修复程序之前发布恶意软件——因此是零日攻击。零日漏洞是指软件中新发现的漏洞。由于开发人员刚刚发现漏洞,解决问题的补丁或安全更新尚未发布。在零日攻击中,软件供应商是被动的,而不是主动的。他们只有在出现问题时才能做出反应。当黑客利用漏洞窗口然后使用该漏洞发起直接攻击时,就会发生零日攻击。零日漏洞利用如此危险的原因在于,唯一知道它们的人是攻击者自己。黑客可以立即发起攻击,也可以利用他们对弱点的了解,等待合适的时机发动攻击。
零日攻击如何运作?
零日漏洞利用多种机制起作用。通常,它们涉及针对带有恶意软件的软件系统。恶意软件集成到现有的软件层中,并阻止它执行其正常功能。恶意软件的渗透非常容易。黑客通常会以网站链接的形式伪装恶意软件。用户只需点击一个网站链接,他们就会自动开始下载有问题的软件。当黑客找到一种方法来利用 Web 浏览器中未修补的漏洞时,通常会发生此类下载。
例如,假设您的浏览器刚刚更新其软件以添加更多功能。您在浏览器上登录您信任的网站,然后单击您认为有效的链接。但是,该链接包含恶意代码。在补丁之前,您的浏览器会阻止链接自动将软件下载到您的计算机上。但是,由于修补后浏览器代码的变化,下载开始了。然后,您的计算机会被感染。几小时后,这家浏览器公司发布了一个新补丁,以防止其他人被感染。然而,对你来说,已经太晚了。
谁是目标?
零日攻击针对知名企业和政府,但它们可以攻击任何人。例如,零日漏洞利用 Stuxnet 在 2010 年试图破坏伊朗核计划。许多人认为以色列和美国是这次袭击的幕后黑手。Stuxnet 包含许多人以前从未见过的新形式的利用。例如,新的电子邮件软件可能无法过滤掉虚假地址。这可能会使人们受到各种类型的网络钓鱼攻击。黑客可能会尝试窃取有价值的信息,例如银行卡详细信息或密码。
如何防止零日漏洞利用?
许多组织和个人认为,阻止零日攻击的方法并不多。这并不完全正确。看看这些提示并学习预防策略。
使用最新的高级安全软件
许多基本的防病毒软件解决方案的问题在于它们只擅长防御已知威胁。当威胁未知时——就像它们在零日攻击中一样——那么它们可能会失败。只有世界上最先进的安全软件才能防止来自未知来源的黑客攻击。始终保持软件最新是必不可少的。
确保安全软件是最新的
供应商可能不会总是公开披露他们是否是零日攻击的受害者。这就是为什么必须在新软件更新可用时立即安装它们的原因。它们可以保护您的组织免受软件供应商发现的威胁。
教授安全的在线安全习惯
许多零日攻击利用人为错误。例如,恶意行为者可能会使用虚假电子邮件针对员工。这些电子邮件可能包含感染了恶意软件的文档或鼓励他们交出敏感信息。因此,聪明的组织会严格执行安全习惯,以帮助员工保持在线安全。
安装主动安全防御
智能安全软件有时可以使用过去违规的数据库来阻止未知威胁。这些数据可以与当前的攻击相关联以检测威胁。寻找可以防御已知和未知来源攻击的软件。
实施网络访问控制
网络访问控制是一种防止未经授权的机器访问组织网络的工具。
使用 IPsec
IPsec 对所有网络流量进行加密和验证。这允许系统快速识别和隔离非网络流量。
部署 Web 应用程序防火墙
Web 应用程序防火墙是一种有助于保护链接到 Web 服务器的计算机的防火墙。防火墙的目的是不断扫描传入的数据包以查找威胁。希望通过使用 Web 应用程序防火墙,公司可以实时做出反应。借助扫描仪,公司可以立即压制其平台上的可疑活动。
使用内容威胁删除
内容威胁清除是一种检测技术,它假定所有数据都具有威胁性。该系统的工作原理是拆除通过网络传入的所有数据并丢弃它认为是恶意的任何内容。这个想法是基于危险对象的数据库丢弃原始数据中任何可能不安全的东西。
制定恢复策略
即使采用上述所有方法,组织也不太可能消除零日攻击的威胁。因此,组织必须为更糟的情况做好准备,以便他们能够做出反应。制定灾难恢复策略至关重要。灾难恢复策略可以减轻违规造成的损害。大多数公司确保他们拥有所有数据的云备份。如果发生违规事件,他们的数据是安全的,他们可以像往常一样继续他们的操作。
零日漏洞检测
组织需要能够快速检测攻击。安全专业人员有四种方法来识别零日攻击。
- 可以部署统计分析来分析攻击的可能性和可能的来源。
- 基于签名的. 可以检查来自过去攻击的先前数据并确定当前数据模式是否发出威胁信号。如果他们这样做了,那么攻击可能正在进行中。
- 行为分析。通过研究恶意行为者的行为,看看它是否发生了变化。如果来自可疑黑客实体的模式与平时不同,则可能是攻击的迹象。
- 组合计分系统。通过将所有方法组合到一个评分系统中,评分确定了违规的可能性。
最近的零日攻击
零日攻击在最近的历史中很常见。看看以下案例:
- Adobe Flash 播放器,2016 年。2016 年,Adobe Flash 发生了零日攻击。黑客获得了控制读写内存的能力。
- 微软办公软件,2017 年。2017 年,黑客发现富文本格式的文档可以打开 Visual Basic 脚本。然后该脚本可用于打开 PowerShell 命令。
- 窗户。一名谷歌员工发现 Windows 存在零日漏洞。该员工随后公开表示,微软的旗舰产品代码存在缺陷已超过 20 年。
- 爪哇。 Java 是 Microsoft 和 Apple 用于创建其产品的平台。Java 最近发布了一个修复程序,旨在克服该平台的一些严重的零日安全漏洞。