5 位安全专家分享防止零日攻击的最佳实践

想象一下，您不小心将家中一扇很少使用的窗户打开了。

在您发现东西不见了之前，您什么都不会考虑。 小偷已经偷偷进出你的房子好几天了，他们利用那个被忽视的窗户来利用你的东西。

零日攻击完全相同。 黑客在您知道系统存在漏洞之前就发现并利用了该漏洞。 在找到错误之前，您无法解决问题。

如今，在 Apple iOS、Google Chrome 和 Windows 等日常平台上发现了零日漏洞。 网络犯罪和已发现漏洞利用的变种越来越多，这使得缓解零日攻击变得越来越困难。

对于面临零日攻击带来的网络安全威胁的企业而言，形势严峻。 感觉好像没有希望找到并阻止这类攻击。

但专家指出，情况并非总是如此。 使用正确的安全软件并实施最佳网络安全实践可以防范零日攻击。 继续阅读以了解操作方法。

什么是零日攻击？

显然，软件开发人员不想创建有错误的软件，但每个软件都有无意的缺陷。 毕竟，每 1,000 行代码就有 3 到 20 个错误。 其中一些漏洞会在系统或应用程序的设计、实现或操作中造成安全漏洞。

网络罪犯寻找这些类型的网络安全漏洞来执行伪装成熟悉系统的命令。 他们可以访问和窃取受限数据，表现得像另一个用户，或者发起拒绝服务攻击。 例如，云存储中的系统漏洞可能会提供对云上其他安全数据的访问。

软件供应商、开发人员和程序员总是在扫描这些错误。 当他们发现一个时，他们会对其进行修补。 但是，当漏洞公开且未修复时，网络犯罪分子就可以获得利用它的免费通行证。

由于供应商通常事先不知道此类漏洞，因此在网络犯罪分子利用漏洞之前，他们几乎没有零天时间修复漏洞。

研究人员 Leyla Bilge 和 Tudor Dumitras 概述了零日漏洞生命周期的七个阶段。

1. 引入了漏洞。 您的软件有错误。 这可能是编码错误、缺少加密或其他任何让未经授权的人访问系统的原因。
2. 漏洞利用在野外发布。 网络罪犯找到漏洞，发布漏洞利用代码或恶意负载，并使用它进行攻击。
3. 供应商发现漏洞。 供应商或负责修复软件的各方通过持续测试或第三方研究人员发现了错误。 他们开始研究补丁。
4. 公开披露的漏洞。 供应商或受影响方公开披露有关错误的信息。 该错误获得了一个常见的漏洞和暴露 (CVE) 编号，以便于识别。 一些漏洞仍然是私有的，并且会悄悄地进行修补。
5. 防病毒签名已发布。 一旦有关各方知道了该漏洞，网络安全供应商就会检测到攻击签名并利用利用该漏洞制造的黑客。 然后他们更新他们的扫描和检测系统。
6. 补丁发布。 同时，软件供应商发布漏洞补丁。 任何使用补丁更新系统的人都不再容易受到攻击。
7. 补丁部署完成。 补丁部署完成后，将无法再以任何方式利用该漏洞。

零日漏洞与零日漏洞利用与零日攻击

将零日攻击与零日漏洞和零日攻击混淆是很常见的。 但它们是不同的。

零日漏洞：尚未为开发人员所知的软件漏洞或未打补丁的缺陷。 零日漏洞可能是数据加密缺失、配置错误、授权不正确或编码错误。

零日攻击：网络犯罪分子使用零日漏洞获取系统访问权限的技术或方法。 这些方法的范围从鱼叉式网络钓鱼到恶意软件。

零日攻击：破坏系统或造成数据泄露或盗窃方面损害的成功零日攻击是零日攻击。

零日攻击如何运作？

仅当您了解攻击的工作原理时，您对零日攻击的防御才有效。 零日攻击是这样的：

1. 发现漏洞。 攻击者在流行平台中寻找关键的网络安全漏洞。 他们甚至希望从黑市购买零日漏洞，在那里以高价出售零日漏洞和漏洞。
2. 创建漏洞利用代码。 黑客创建漏洞利用代码以利用零日漏洞。 漏洞利用代码是一段带有小型恶意软件的恶意代码，在激活时会下载其他恶意软件。 该恶意软件允许黑客感染易受攻击的设备、执行代码、充当管理员或执行潜在的破坏性操作。
3. 查找易受攻击的系统。 犯罪分子使用机器人或自动扫描仪扫描易受攻击的系统，并根据他们的动机计划进行有针对性的攻击或大规模攻击。
4. 部署漏洞。 攻击者用来传播漏洞利用的最常见策略是通过在其广告中不知不觉地托管恶意代码和漏洞利用的网页。 有时，漏洞是通过电子邮件部署的。 它可以采用鱼叉式网络钓鱼的形式，针对特定个人，或向一大群人发送大量网络钓鱼电子邮件。
   
   当用户访问恶意网站或点击网络钓鱼电子邮件时，攻击者的恶意软件就会被下载。 攻击者还使用漏洞攻击包，这是一组通过网页针对不同软件漏洞的攻击。 这些类型的漏洞可以侵入操作系统、应用程序、网络浏览器、开源组件、硬件和物联网设备。
5. 启动漏洞。 一旦漏洞被释放，犯罪分子就会渗透到系统中，危及设备甚至整个连接网络的操作和数据。
   
   黑客利用漏洞窃取数据、启动勒索软件或进行供应链攻击。 在供应链攻击方面，攻击者通常使用零日漏洞侵入关键软件供应商。 一旦进入，黑客就会在供应商不知道的情况下在应用程序中隐藏其他恶意软件。 当软件向公众发布时，恶意代码也会与合法代码一起下载，导致大量受害者。
   
   例如，SolarWinds Orion 平台中的一个严重的零日漏洞导致了大规模的供应链攻击，影响了数百家企业和政府机构。

谁执行零日攻击？

不同类型的人出于不同的原因进行零日攻击。 他们可能是：

• 网络罪犯，他们这样做是为了金钱利益。 一项研究发现，在所有利用零日漏洞的黑客组织中，有三分之一是出于经济动机。
• 国家资助的黑客，出于政治原因或攻击另一个国家的网络基础设施而这样做。 例如，中国政府支持的威胁组织 APT41 在 2021 年使用零日漏洞攻击美国州政府网络。
• 出于社会或政治原因而这样做的黑客主义者。
• 公司间谍，他们这样做是为了监视竞争企业。

为什么零日攻击很危险？

零日攻击是增长最快的网络安全威胁之一。 随着云、移动和物联网 (IoT) 技术的迅速采用，我们日常使用的软件平台的数量和复杂性都在增加。 更多的软件会导致更多的软件错误。 更多的错误通常意味着更多的网关供攻击者利用。

对于犯罪黑客来说，Microsoft Office 或 Google Chrome 等流行软件中的漏洞代表了攻击他们想要的任何目标的免费通行证，从财富 500 强公司到全球数百万手机用户。

零日攻击之所以如此恶毒，是因为它们通常至少在十个月内才被发现——在某些情况下甚至更长。 在发现攻击之前，软件仍未打补丁，反病毒产品无法通过基于签名的扫描检测到攻击。 它们也不太可能在蜜罐或实验室实验中被观察到。

而且即使漏洞暴露，犯罪分子也会蜂拥而至，乘虚而入。 一旦未修补的漏洞被公开，只需 14 天就可以利用漏洞。 虽然攻击最初是针对特定组织或个人的，但其他威胁参与者很快就会尽可能广泛地利用该漏洞。

直到最近几年，零日攻击主要是由国家资助的网络组织发现和使用的。 Stuxnet 是对伊朗核计划最著名的零日攻击之一，据推测是美国和以色列的联合行动。

但是今天，出于经济动机的网络犯罪集团使用零日攻击。 他们使用勒索软件通过零日攻击赚钱。 对 IT 服务供应链的攻击也越来越多，目的是针对下游第三方业务。

此外，黑客可能会使用人工智能 (AI) 和机器学习 (ML) 解决方案来发起复杂的攻击。

例如，在 2022 年，研究人员发现他们可以使用 ChatGPT 为 MacOS 创建网络钓鱼电子邮件和勒索软件活动。 任何人，无论其技术专长如何，都可以使用这些人工智能工具按需为恶意软件或勒索软件创建代码。

这些攻击具有广泛的影响，从数据盗窃和传播恶意软件到经济损失和整个系统接管。 企业比以往任何时候都更需要为零日攻击做好准备，以保护其数据和网络安全。

5位专家揭示了防御零日攻击的常见失误

我们向五位网络安全专家询问了企业所采取的最普遍且可避免的失误，这些失误使他们容易受到零日威胁和攻击。 他们是这样说的。

准备不足

Check Point Software 的 Pete Nicoletti 指出，企业，尤其是中小型企业，通常还没有准备好应对零日攻击。

“让我们先看看问题的范围。 易受攻击的应用程序、合作伙伴、员工分布在任何地方，包括云资源、托管服务器、台式机、笔记本电脑、不安全的家庭无线、自带设备、手机等。 所有这些都创造了一个非常大的威胁面，需要特定的解决方案、优先级、预算和个人关注，”Nicoletti 说。

他指出，攻击者拥有数十亿美元的勒索软件资金，现在每个月都在创建数千个新的恶意软件变体，以及数十亿精心制作的网络钓鱼电子邮件。 他们正在利用零日漏洞并打击未修补的薄弱环节。

“甚至一些安全供应商也有零日漏洞，并被用作利用向量，将讽刺拨盘调到最大。”

皮特尼科莱蒂
现场 CISO，Check Point 软件

考虑到缓解零日攻击的成本和难度，Nicoletti 坚持认为企业应该准备好以合理的支出来应对安全风险。

未修复的已知漏洞

Horangi Cyber​​ Security 的首席执行官兼联合创始人 Paul Hadjy 谈到了正确掌握安全基础知识的重要性。

“许多公司在处理已知漏洞的能力和机制还没有完全成熟时，就向我们询问如何处理零日漏洞，”Hadjy 说。

他告诉我们，虽然在零日漏洞上受到攻击很不幸，但在已知漏洞上受到攻击更糟糕。

“两者都指向我们经常遇到的情况。 当组织应该关注安全基础知识时，他们却关注流行和相关的情况，”他说。

“对于新颖闪亮的东西，不应忽视基本的安全功能。”

保罗·哈吉
Horangi Cyber​​ Security 首席执行官兼联合创始人

管理不善

Rapid7 安全研究高级经理 Caitlin Condon 指出，公司缺乏基本的基础漏洞管理实践。

“当发生备受瞩目的零日攻击时，我们听到组织最常问的问题是，‘我们是否使用这种易受攻击的产品？’ 其次是'我们已经被剥削了吗？'”康登说。

“危机不是企业开始考虑如何对库存进行分类、设置集中式日志记录或警报，或者针对关键的、被积极利用的漏洞实施紧急修补计划的理想时机。”

凯特琳·康登
Rapid7 安全研究高级经理

Condon 说，应对零日攻击的最佳准备是制定良好的核心政策和实践。 “然后，当发生以分钟为单位衡量风险降低的网络安全事件时，您就有了一个易于理解的基线，可以根据该基线制定应急程序、实施情报并确定补救措施的优先级。”

缺乏知名度

Microfocus 旗下业务 Cyber​​Res 的首席安全策略师 Stan Wisseman 强调，在企业使用的软件方面需要更好的可见性。

“组织需要提高构成其应用程序和产品的软件组件的透明度，以便他们能够进行快速影响分析，”Wisseman 说。 他以 Apache 中暴露 Log4Shell 或 Log4J 漏洞时发生的零日攻击为例，解释了这样做的必要性。

“使用 Log4J，任何使用 Java 运行任何东西的人都必须手动向他们的供应商发送电子邮件，以确定 Log4J 是否在他们的产品中并验证版本。 如果他们受到影响，他们必须决定如何应对。 每个人都在争先恐后。”

他补充说，企业需要进行软件组成分析 (SCA) 并拥有软件物料清单 (SBOM)，以快速降低零日攻击带来的风险。 “你需要尽职调查并确保他们已经验证了安全控制措施，”他说。

“软件组成分析 (SCA) 和软件物料清单 (SBOM) 的价值在于，您可以快速响应以减轻零日攻击带来的风险。”

斯坦威斯曼
Cyber​​Res 首席安全策略师

被忽视的安全性和合规性

Satori Cyber​​ 副总裁 Ben Herzberg 分享了他对新企业在防止零日攻击方面遇到的问题的看法。

“一般来说，新业务处于增长模式。 和瘦。 这两个因素可能会导致忽视安全性和合规性。 这可能会导致更多的过度安全风险，包括已知的和零日的。”

零日攻击预防：如何预防零日威胁

既然您知道了一些问题所在，请仔细阅读有关防止零日攻击的专家建议。

1. 了解您的风险

Condon 强调了企业了解网络攻击带来的危险的重要性。

“由于保护不断扩大的 IT 基础设施和云服务列表的资源有限，因此构建一个将您的特定风险背景考虑在内的安全计划非常重要。”

凯特琳·康登
Rapid7 安全研究高级经理

“也许你是一家云优先公司，需要定制其部署和扫描规则，以防止暴露数据或产生高额账单的错误配置，”她说。 “也许你是一家零售公司，其销售点 (POS) 系统在假期期间成为攻击目标，或者是一家生活在 99.999% 正常运行时间世界中的流媒体公司，拒绝服务攻击是一场商业灾难。”

“了解哪些类型的风险对您的业务影响最大，可以让您构建一个安全计划，其中的目标和指标是根据您的需求定制的，并且您可以更轻松地向整个组织的非安全利益相关者传达进展和优先事项。”

除此之外，Herzberg 还强调了制定增量计划以按风险因素解决威胁的重要性。

“你可能无法将风险降低到 0%。 因此，优先考虑高风险区域很重要……围绕您拥有的敏感数据建立强大的安全性比通用日志数据更重要。”

本·赫茨伯格
Satori Cyber​​ 副总裁

2. 打好基础

Nicoletti 说：“企业需要首先了解他们的基础知识。”

除此之外，Wisseman 指出，网络安全和基础设施安全局 (CISA) 在其 Shields Up 计划中提供的建议对于想要提高弹性的各种规模的公司来说都非常有用。

3.设置多层安全

“重要的是要确保有多层安全保护，”Herzberg 说。 “例如，如果一个端点遭到破坏，这可能是由于您无法控制的零日攻击造成的，请考虑如何确保损害得到控制并且不会导致损害您的所有平台。” 分层方法确保攻击者穿透一层防御将被后续层阻止。

4. 获得事件响应和补丁管理能力

Hadjy 将这些功能称为“基础”，并继续说，“许多技术，例如使用云安全态势管理工具和云身份和权利管理 (CIEM)，可以帮助您提高补丁管理能力，因此强烈推荐。 ”

G2 网络安全分析师 Sarah Wallace 也提醒人们注意更新网络安全软件的重要性。 “网络罪犯知道很多组织都使用过时的旧版安全软件，因此很容易成为他们的目标，”Wallace 说。

5. 进行模拟和测试

Hadjy 强调通过频繁的模拟和测试改进事件响应策略。 “制定一个可靠的计划，然后练习、练习、再练习！”

Hadjy 向我们解释说，进行模拟（如桌面演习）是了解您的事件响应计划效果如何以及确定需要改进的领域的最佳方式。

“你可能无法控制何时或如何受到攻击，但你可以控制攻击发生时你的许多反应，”他说。 他还强调需要培养和促进强大的网络安全文化。

“处理零日攻击几乎在所有方面都与处理任何其他网络攻击相同。 你必须对你没有预料到的情况做出反应，而你通常只有很少的信息可以继续下去。”

保罗·哈吉
Horangi Cyber​​ Security 首席执行官兼联合创始人

“确保您的整个组织都受过教育，并对网络钓鱼等潜在威胁保持警惕。 为员工提供工具和渠道来标记和报告网络钓鱼企图和威胁，”Hadjy 说。

“如果员工从第一天起就知道安全不是需要绕过的障碍，而是业务推动因素，那么他们在未来几年的行为就会发生巨大变化，”Herzberg。

最后，Nicoletti 给我们留下了这个指导。 “将您的思维方式从检测转变为预防，因为您必须阻止零日攻击。”

针对零日攻击的安全解决方案

不同的安全解决方案有助于检测和防御零日威胁以及其他网络安全漏洞和攻击。 您可以根据需要组合使用这些工具并加强您企业的安全状况。

补丁管理软件

补丁管理解决方案可确保您的技术堆栈和 IT 基础架构保持最新状态。 组织利用此工具来

• 保留软件、中间件和硬件更新的数据库。
• 获取有关新更新或自动更新的警报。
• 通知管理员过时的软件使用情况。

基于风险的漏洞管理软件

基于风险的漏洞管理软件比传统的漏洞管理工具更先进，可根据可定制的风险因素识别漏洞并确定漏洞的优先级。 公司可以使用此工具来

• 分析应用程序、网络和云服务的漏洞。
• 使用 ML 根据风险因素确定漏洞的优先级。
  
  

攻击面管理软件等工具也可用于扫描和修复漏洞。

安全风险分析软件

安全风险分析软件监控 IT 堆栈，包括网络、应用程序和基础设施，以识别漏洞。 企业使用此解决方案来

• 分析公司的安全软件、硬件和运营。
• 获取有关其安全漏洞或漏洞的信息。
• 获取优化 IT 系统安全规划的建议。

入侵检测和预防系统对于了解可疑活动、恶意软件、社会工程攻击和其他基于 Web 的威胁也很有用。

威胁情报软件

威胁情报软件提供有关最新网络威胁的信息，无论是零日攻击、新恶意软件还是漏洞利用。 组织使用威胁情报软件来

• 获取有关新出现的威胁和漏洞的信息。
• 找出针对新出现威胁的补救措施。
• 评估不同网络和设备类型的威胁。

安全信息和事件管理 (SIEM) 软件

SIEM 是安全工具的组合，具有安全信息监控软件和安全事件管理软件的功能。 该解决方案提供单一平台来促进实时安全日志分析、调查、异常检测和威胁修复。 企业可以使用 SIEM 来

• 收集和存储 IT 安全数据。
• 监控 IT 系统中的事件和异常。
• 收集威胁情报。
• 自动化威胁响应。
  
  

事件响应软件

事件响应工具通常是抵御任何网络威胁的最后一道防线。 该工具用于实时修复网络安全问题。 企业使用该解决方案来

• 监控和检测 IT 系统中的异常情况。
• 自动化或指导安全团队完成修复过程。
• 存储事件数据以供分析和报告。
  
  

安全编排、自动化和响应 (SOAR) 软件

SOAR 结合了漏洞管理、SIEM 和事件响应工具的功能。 组织使用该解决方案来

• 集成安全信息和事件响应工具。
• 构建安全响应工作流程。
• 自动执行与事件管理和响应相关的任务。

屏蔽起来

毫无疑问，零日攻击越来越普遍且难以预防。 但是你必须对它有最好的防御。 了解您拥有的技术栈。 维护用于查找和修复漏洞的强大安全基础架构。

持续监控异常情况。 让您的员工了解您的安全策略和威胁。 制定事件应对计划，并定期对其进行测试。 缓解并遏制攻击（如果发生）。 遵循上述安全解决方案的最佳安全实践，您将做好准备。

详细了解可保护您的公司免受零日威胁和其他网络攻击的网络安全工具。