想象一下,你不小心把家里一扇很少使用的窗户开着。
直到你发现有东西不见了,你才会想起来。这几天来,小偷一直在你家进进出出,从那扇被忽视的窗户偷走你的东西。
零日攻击完全相同。黑客在您知道系统中的漏洞存在之前就发现并利用它。在找到漏洞之前,你无法解决问题。
零日攻击利用零日漏洞对系统造成破坏或窃取数据。术语“零日”指的是在攻击发生之前,软件供应商可以为未知漏洞发布修复程序的天数(零)。
如今,零日漏洞在苹果iOS、谷歌Chrome和Windows等日常平台上都能找到。网络犯罪和已经发现的漏洞变体越来越多,这使得缓解零日攻击越来越困难。
对于面临零日攻击网络安全威胁的企业来说,形势十分严峻。感觉好像没有希望发现和防止这类攻击。
但专家指出,情况并非总是如此。使用权利安全软件实施最佳网络安全实践可以防范零日攻击。请继续阅读,找出答案。
显然,软件开发人员不希望创建有bug的软件,但是每个软件都有无意的缺陷。毕竟,每1000行代码都有3到20个bug.其中一些漏洞会在系统或应用程序的设计、实现或操作中产生安全弱点。
网络犯罪分子寻找这类网络安全漏洞来执行伪装成熟悉系统的命令。他们可以访问和窃取受限制的数据,表现得像另一个用户,或者启动拒绝服务攻击.例如,云存储中的系统漏洞可能提供对其他方法的访问保护云上的数据.
零日漏洞是指任何尚未修复的软件缺陷,因为负责它的各方没有注意到它需要修复。
软件供应商、开发人员和程序员总是在扫描类似的错误。当他们发现一个,他们修补它。然而,当漏洞公开且未修复时,网络犯罪分子就获得了利用它的免费通行证。
由于供应商通常事先不知道这些漏洞,在网络犯罪分子利用它之前,他们几乎没有任何时间来修复漏洞。
研究人员Leyla Bilge和Tudor Dumitras概述了零日漏洞生命周期中的七个阶段。
零日攻击通常与零日漏洞和零日利用相混淆。但它们是不同的。
-1.png?width=600&height=333&name=Zero-day%20attack%20Vs%20(1)-1.png)
零日漏洞:开发人员尚未知道的软件漏洞或没有补丁的缺陷。零日漏洞可能是缺少数据加密、错误配置、不正确的授权或编码错误。
零日漏洞:网络犯罪分子利用零日漏洞访问系统的技术或方法。这些方法包括鱼叉式网络钓鱼恶意软件。
零日攻击:一个成功的零日利用,破坏系统或造成损害数据泄露或者偷盗是零日攻击。
相关:学习如何避免成为网络钓鱼和其他的受害者社会工程技术.
只有了解攻击的工作原理,才能有效地防御零日攻击。零日攻击是这样的:
不同类型的人出于不同的原因实施零日攻击。它们可能是:
网络犯罪分子利用零日漏洞和攻击针对广泛的组织。这些包括:
零日攻击是增长最快的网络安全威胁之一。随着云、移动和物联网(IoT)技术的迅速采用,我们每天使用的软件平台的数量和复杂性都在增加。更多的软件导致更多的软件错误。更多的漏洞通常意味着攻击者可以利用的网关更多。
对于犯罪黑客来说,流行软件中的漏洞就像微软办公软件或谷歌Chrome代表着攻击任何他们想攻击的目标的免费通行证,从财富500强公司到全球数百万手机用户。
零日攻击之所以如此恶毒,是因为它们通常至少在10个月后才被发现——在某些情况下甚至更长。在发现攻击之前,该软件一直未打补丁,防病毒产品无法通过基于签名的扫描检测到攻击。它们也不太可能被观察到“粘蜜罐”或者实验室实验。
而且即使漏洞被暴露,犯罪分子也会冲进来趁机利用这种情况。一旦未修补的漏洞被公开,它只需要14天让一个漏洞可以在野外使用。虽然攻击最初是针对特定的组织或个人,但其他威胁行为者很快就会尽可能广泛地利用该漏洞。
直到最近几年,零日漏洞大多被国家支持的网络组织发现和使用。超级工厂病毒这是针对伊朗核计划的最著名的零日攻击之一,据推测是美国和以色列的联合行动。
但如今,出于经济动机的网络犯罪团伙使用零日漏洞。他们利用勒索软件的零日攻击赚钱。针对IT服务供应链的攻击也越来越多,目标是针对下游第三方业务。
此外,黑客可能会使用人工智能(AI)和机器学习(ML)解决方案来发动复杂的攻击。
例如,在2022年,研究人员发现他们可以使用ChatGPT为MacOS创建钓鱼邮件和勒索软件活动。任何人,无论他们的技术专长如何,都可以使用这些人工智能工具按需创建恶意软件或勒索软件的代码。
这些攻击具有广泛的影响,从数据窃取和传播恶意软件到财务损失和整个系统接管。企业比以往任何时候都必须为零日攻击做好准备,以保护其数据和网络安全。
相关:了解数据安全保证数据安全的方法和最佳实践。
我们向五位网络安全专家询问了企业最普遍、最可避免的失误,这些失误使企业容易受到零日威胁和攻击。他们是这么说的。
Pete Nicoletti来自检查点软件请注意,企业,尤其是中小型企业,通常没有为零日攻击做好准备。
“让我们先看看问题的范围。易受攻击的应用程序、合作伙伴、分布在云资源、托管服务器、台式机、笔记本电脑、不安全的家庭无线、自带设备、手机等各处的员工。所有这些都造成了非常大的威胁面,需要具体的解决方案、优先级、预算和个人关注,”尼科莱蒂说。
他指出,攻击者拥有数十亿美元的勒索软件资金,现在每个月都在创造数千个新的恶意软件变种,以及数十亿个精心制作的网络钓鱼电子邮件。他们正在利用零日漏洞,攻击尚未修补的薄弱环节。
“甚至一些安全供应商也有零日,并被利用为利用载体,将讽刺的程度提高到最大。”
皮特Nicoletti
现场CISO, Check Point软件
考虑到减轻零日攻击的成本和难度,Nicoletti坚持认为,企业应该准备好以合理的支出来应对安全风险。
Paul Hadjy是Horangi网络安全他谈到了正确掌握安全基础知识的重要性。
“许多公司在处理已知漏洞的能力和机制尚未完全成熟的情况下,向我们询问如何处理零日漏洞,”Hadjy说。
他告诉我们,虽然在零日漏洞上受到攻击是不幸的,但在已知漏洞上受到攻击则更糟糕。
“这两种情况都是我们经常遇到的情况。现在的情况是,组织在应该关注安全基础的时候,却只关注潮流和相关的东西。”他说。
保罗Hadjy
Horangi Cyber Security首席执行官兼联合创始人
凯特琳·康登,安全研究的高级经理Rapid7,指出公司缺乏基本的漏洞管理实践。
“当出现高调的零日攻击时,我们听到组织问的最常见的问题是,‘我们使用这个易受攻击的产品吗?,然后是“我们已经被剥削了吗?”’”康登说。
“对于企业来说,危机不是开始考虑如何对库存进行分类、设置集中式日志记录或警报,或为被积极利用的关键漏洞实施紧急修补计划的理想时机。”
凯特琳康登
Rapid7安全研究高级经理
康登说,应对零日计划的最佳准备是制定良好的核心政策和实践。“然后,当发生网络安全事件时,风险降低是在几分钟内衡量的,你就有了一个众所周知的基线,在此基础上制定紧急程序,运行情报,并优先考虑补救措施。”
斯坦·威斯曼,首席安全战略家CyberRes该公司强调,在涉及到企业使用的软件时,需要更好的可见性。
Wisseman说:“组织需要对组成其应用程序和产品的软件组件有更大的透明度,这样他们才能进行快速的影响分析。”他以Apache中Log4Shell或Log4J漏洞暴露时发生的零日攻击为例,解释了这样做的必要性。
对于Log4J,任何使用Java运行任何东西的人都必须手动给他们的供应商发送电子邮件,以确定Log4J是否在他们的产品中,并验证版本。如果他们受到影响,他们必须决定如何应对。每个人都手忙脚乱。”
他补充说,企业需要进行软件组合分析(SCA)和软件物料清单(SBOM),以快速降低零日攻击带来的风险。他说:“你需要尽职调查,确保他们已经实施了有效的安全控制。”
“软件组成分析(SCA)和拥有可用的软件材料清单(soms)的价值在于,您可以快速响应,以降低零日攻击带来的风险。”
斯坦Wisseman
CyberRes首席安全策略师
Ben Herzberg,副总裁开悟的网络他分享了他对新企业在防止零日攻击方面遇到的问题的看法。
“一般来说,新业务都处于增长模式。和精益。这两个因素会导致忽视安全性和遵从性。这可能会导致更多的安全风险,包括已知的和零日的。”
现在您已经知道了一些问题的所在,请仔细阅读有关防止零日攻击的专家建议。
康登强调了企业了解危险的重要性网络攻击姿势。
“在有限的资源来保护不断扩大的IT基础设施和云服务的情况下,建立一个考虑到特定风险环境的安全计划非常重要。”
凯特琳康登
Rapid7安全研究高级经理
“也许你是一家云优先的公司,需要调整其部署和扫描规则,以防止错误配置暴露数据或产生高额账单,”她说。“也许你是一家零售公司,其销售点(POS)系统在假期期间成为攻击目标,或者是一家生活在99.999%正常运行时间世界中的流媒体公司,拒绝服务攻击是一场商业灾难。”
“了解哪些类型的风险对您的业务影响最大,可以让您构建一个安全计划,其中的目标和指标是根据您的需求定制的,并且您可以更容易地将进度和优先级传达给整个组织的非安全利益相关者。”
除此之外,赫茨伯格还强调了建立一个增量计划以解决风险因素威胁的重要性。
“你可能无法将风险降低到0%。因此,优先考虑高风险地区是很重要的……围绕您拥有的敏感数据构建良好的安全性比一般日志数据更重要。”
本•赫兹伯格
Satori Cyber副总裁
尼科莱蒂说:“企业首先需要解决基本问题。
以下是尼科莱蒂为企业做好基本工作提出的一些建议。
此外,Wisseman还指出网络安全和基础设施安全局(CISA)在其报告中提供的建议护盾计划这对于任何规模的公司来说都是非常好的,因为它们都希望提高自身的弹性。
赫茨伯格说:“确保有多层安全是很重要的。”“例如,如果一个端点被破坏,这可能是由于零日漏洞而导致的,而这是你无法控制的,考虑一下你如何确保损害得到控制,并且不会导致你所有的平台受到威胁。”分层方法确保攻击者穿透一层防御将被后续层阻止。
提示:使用一个Web应用防火墙工具扫描所有传入的网络流量,以实时发现威胁。
Hadjy称这些功能是“基础的”,并继续说道:“许多技术,如使用云安全态势管理工具和云身份和权限管理(CIEM),可以帮助您提高补丁管理功能,因此强烈推荐。”
G2网络安全分析师Sarah Wallace也呼吁注意更新网络安全软件的重要性。华莱士说:“网络犯罪分子知道很多组织都使用过时的传统安全软件,所以这对他们来说很容易成为目标。”
相关:学习如何使安全事件响应不那么混乱事件响应计划.
Hadjy强调通过频繁的模拟和测试来改进事件响应策略。“制定一个可靠的计划,然后练习,练习,再练习!”
Hadjy向我们解释说,进行诸如桌面练习之类的模拟是查看您的事件响应计划工作情况以及确定改进领域的最佳方式。
他说:“你可能无法控制何时或如何受到攻击,但当攻击发生时,你可以控制很多方面的反应。”他还强调,要培育和推广强大的网络安全文化。
“处理零日攻击几乎在任何方面都与处理任何其他网络攻击相同。你必须对你没有预料到的情况做出反应,而你通常没有什么信息可以继续下去。”
保罗Hadjy
Horangi Cyber Security首席执行官兼联合创始人
“确保你的整个组织都受过教育,并对网络钓鱼等潜在威胁保持警惕。为员工提供标记和报告网络钓鱼企图和威胁的工具和渠道。”
赫茨伯格说:“如果员工从第一天开始就认识到,安全不是需要绕过的障碍,而是业务的推动力,那么在未来几年,他们的行为就会发生巨大的变化。”
最后,尼科莱蒂给我们留下了这样的指导。“把你的思维方式从发现转变为预防,因为你必须阻止‘零日’的发生。”
不同的安全解决方案有助于检测和防御零日威胁和其他网络安全漏洞和攻击。您可以根据自己的需要组合使用这些工具,并加强企业的安全态势。
补丁管理解决方案确保你的技术堆栈和IT基础设施是最新的。组织利用这个工具来
提示:你可以使用漏洞扫描器或者黑盒扫描器来修复已知的漏洞。
比传统的漏洞管理工具更先进,基于风险的漏洞管理软件根据可定制的风险因素识别漏洞并确定优先级。公司可以使用这个工具
这样的工具攻击面管理软件也可用于扫描和修复漏洞。
安全风险分析软件监控IT堆栈,包括网络、应用程序和基础设施,以识别漏洞。企业使用此解决方案
入侵检测和防御系统对于了解可疑活动、恶意软件、社会工程攻击和其他基于web的威胁也很有用。
威胁情报软件提供有关最新网络威胁的信息,包括零日攻击、新的恶意软件或漏洞。组织使用威胁情报软件
SIEM是一种安全工具的组合,同时具备安全信息监控软件和安全事件管理软件的功能。该解决方案提供了一个单一平台,方便实时的安全日志分析、调查、异常检测和威胁修复。企业可以使用SIEM
事件响应工具通常是抵御网络威胁的最后一道防线。该工具用于修复实时出现的网络安全问题。企业使用该解决方案
高飞结合了漏洞管理、SIEM和事件响应工具的功能。组织使用该解决方案
毫无疑问,零日攻击越来越普遍,也越来越难以预防。但你必须有最好的防御措施。了解你所拥有的技术堆栈。维护健壮的安全基础设施,以查找和修复漏洞。
持续监控异常情况。让你的员工了解你的安全政策和威胁。制定事件反应计划,并定期进行测试。如果发生攻击,减轻和遏制攻击。遵循上面提到的安全解决方案的最佳安全实践,您就会有所准备。
了解更多网络安全工具这可以保护您的公司免受零日威胁和其他网络攻击。
