什么是零日漏洞? 为什么它们很危险?

已发表: 2021-12-04

尽管企业一直面临许多威胁,但网络攻击正变得越来越令人担忧。 零日漏洞利用是最严重的恶意软件威胁之一。

网络攻击可能会对企业造成严重后果,因为黑客可以窃取金钱、数据或知识产权,从而危及您的运营。 没有公司能幸免。 它们影响到贸易商、本地企业、全国连锁店,甚至像谷歌这样的全球巨头(事实上,谷歌每年至少有 22 次不可预见的攻击)。

但这并不是说网络攻击是不可避免的。 我们可以采取一些措施来保护自己。

在本文中,我们将告诉您有关零日攻击的所有信息,它们为何危险,以及如何识别和预防它们。

开始吧!

什么是零日漏洞?

零日漏洞利用是您的软件或硬件中以前未被发现的安全漏洞,黑客可以利用该漏洞破坏您的系统。 零日漏洞利用有许多不同的名称,包括“零小时漏洞利用”或“day0 漏洞利用”。

不管叫什么名字,“零日”的由来都是一样的。 “零日”一词强调了问题的严重性。 有人发现零日漏洞后,开发人员有零日时间来修复错误,以免成为紧急问题。

在了解零日攻击时,您可能会听到它们被称为“零日漏洞”或“零日攻击”。 这些术语之间有一个本质的区别:

  • “零日漏洞”是指黑客用来攻击软件的方法
  • “零日漏洞”是指系统中未被发现的漏洞
  • “零日攻击”是指黑客利用漏洞入侵您的系统时所采取的行动

在讨论零日漏洞时,“未发现”一词至关重要,因为系统的创建者必须不知道该漏洞才能被视为“零日漏洞”。 一旦开发人员知道问题并发布了补丁,安全漏洞就不再是“零日漏洞”。

许多不同的人群进行零日攻击,包括:

  • 网络犯罪分子具有经济动机的犯罪黑客
  • 黑客主义者:希望侵入系统以推进政治事业或议程的人
  • 企业黑客:希望了解竞争对手信息的黑客
  • 营利性黑客:发现漏洞并将其出售给公司的人(但不打算自己利用漏洞)

零日漏洞利用听起来很可怕:一个如此严重的问题,以至于开发人员有零日时间来修复错误,然后才成为紧急问题。 使用本指南为您的网站准备此类攻击点击鸣叫

零日攻击的工作原理

虽然每次攻击都不同,但大多数攻击通常是这样工作的:

  • 第 1 步:您的开发人员创建一个系统。 该系统包含一个开发人员不知道的零日漏洞。
  • 第 2 步:系统上线后,黑客(有时称为“威胁行为者”或“恶意行为者”)发现系统中的漏洞。
  • 第 3 步:黑客编写并执行恶意代码以利用该漏洞并破坏您的系统。
  • 第 4 步:公众或开发人员都注意到了一个严重的问题,开发人员通过补丁修复了该问题。

有时,发现您的零日威胁的黑客和攻击您系统的黑客是不同的人。

一些黑客通过黑市向其他黑客出售信息。 黑市存在于暗网上——这是你无法通过谷歌、雅虎和必应等搜索引擎访问的互联网部分。 人们通过 Tor 等匿名浏览器访问暗网。

一些网络安全公司还寻找利用漏洞将这些信息出售给系统所有者。

这些公司通过“白色”或“灰色”市场出售这些数据(尽管白色、灰色和黑色市场之间的区别取决于您当地的网络安全法律)。

黑客如何进行零日攻击
黑客如何进行零日攻击。 (来源:诺顿)

既然您知道了零日漏洞的工作原理,您可能想知道黑客是如何破坏您的系统的。

虽然没有行之有效的方法,但许多黑客使用:

模糊测试

模糊测试(或“模糊测试”)是黑客用来发现系统漏洞的蛮力技术。

当黑客对目标进行模糊测试时,他们会使用将随机数据输入系统输入框(人们输入信息的文本框)的软件。 然后,黑客监视表明代码中存在漏洞的崩溃、内存泄漏或失败的断言。

许多模糊测试技术专注于向输入框发送随机、无意义或无效答案的垃圾邮件。 例如,如果您有一个文本框供某人输入他们的年龄(以年为单位),黑客会测试以查看您的系统在他们输入“-94”或“@45”时如何响应。

社会工程学

社会工程是黑客用来通过其用户访问系统的一种操纵技术。

有许多类型的社会工程,包括:

  • 借口:当有人使用借口时,他们试图通过创造一个可信的场景来获得你的信任。 例如,他们可能会假装来自您的 IT 部门并说他们需要您的密码。
  • 当有人引诱您时,他们试图通过诱使您与腐败材料互动来破坏您的系统。 例如,2018 年,一名中国黑客向美国多个州和地方当局发送了一张神秘的 CD。 目的是诱使他们出于好奇而打开 CD 的内容。
  • 网络钓鱼:当有人对您进行网络钓鱼时,他们会冒充您认识的人,以说服您向他们提供机密信息、打开恶意文件或单击损坏的链接。 例如,如果您希望收到来自“[email protected]”的电子邮件,黑客可能会使用“[email protected]”的电子邮件地址对您进行网络钓鱼。 由于 2019 年对美国公司的网络攻击中有 38% 使用网络钓鱼,因此许多公司使用 FraudLabsPro 或 Simility 等欺诈预防工具保护自己免受网络钓鱼。

网络钓鱼电子邮件示例
网络钓鱼电子邮件示例。 (来源: SecureWorld)

一旦黑客使用社会工程来破坏系统,他们就会使用用户的帐户从内部寻找零日漏洞。

共同目标

你不需要成为一家价值数十亿美元的银行公司,黑客就会瞄准你。 黑客将针对他们可以从中获利的任何组织、个人或实体,尤其是:

  • 网络安全性差的组织
  • 处理个人数据(尤其是地址、社会安全号码 (SSN)、客户的法定全名和客户的生日)的组织
  • 政府机构
  • 拥有机密信息的组织
  • 为客户创建软件或硬件的组织(因为他们可以使用该技术来破解客户)
  • 在国防领域工作的组织

在选择攻击谁时,许多黑客会寻找能够产生高回报的简单目标,因为他们希望以最少的努力和风险赚最多的钱。

尽管每个黑客的工作方式不同,但大多数目标是:

  • 操作系统
  • 网络浏览器
  • 硬件和固件
  • 软件应用
  • 物联网 (IoT) 设备

例子

尽管您可能不会经常考虑网络攻击,但它们发生的频率比您想象的要多。 截至 2020 年,个人和组织已检测到超过 6.77 亿件恶意软件。 这比 2010 年增加了 2,317.86%,当时人们只检测到超过 2800 万件恶意软件。

根据 Ponemon Institute 的研究,近 48% 的组织在过去两年中经历过数据泄露。 这些组织中有 62% 在攻击之前没有意识到漏洞(这意味着它们是零日攻击)。

尽管大多数组织没有公开他们的攻击细节,但我们知道过去几年发生了许多大型攻击。 这些包括:

2021 年 Google Chrome 黑客攻击

2021 年 4 月,Google 发布了适用于 Windows、Linux 和 Mac 设备的 Google Chrome 浏览器的更新。 除其他外,此更新修复了黑客利用的零日漏洞。 他们将该漏洞称为“CVE-2021-21224”。

尽管谷歌没有分享攻击的全部细节,但 CVE-2021-21224 允许某人通过精心设计的 HTML 页面在沙箱中运行代码。

2020 年变焦黑客

2020 年 7 月,网络安全公司 0patch 报告称,一名匿名人士在 Zoom 中发现了一个零日漏洞。 该漏洞允许黑客通过让用户单击链接或打开恶意软件获得进入权限后,在 Zoom 中远程运行代码。 该漏洞仅存在于运行 Windows 7 或更早版本的 Windows 的计算机上。

得知漏洞后,0patch 将信息提供给 Zoom,Zoom 的开发人员在一天内发布了针对该问题的安全补丁。

2016/2017 Microsoft Word 攻击

2016 年,Ryan Hanson(来自 Optiv 的安全研究员和顾问)发现了 Microsoft Word 中的一个零日漏洞。 该漏洞(称为“CVE-2017-0199”)允许攻击者在用户下载运行恶意脚本的 Word 文档后在用户计算机上安装恶意软件。

据路透社报道,在 2017 年微软开发人员修补它之前,黑客利用 CVE-2017-0199 从在线银行账户中窃取了数百万美元。有趣的是,汉森并不是唯一一个发现 CVE-2017-0199 的人——在 2017 年 4 月,McAfee 的研究人员和 FireEye 都报告说发现了这个漏洞。

2010 年 Stuxnet 攻击

2010 年,Stuxnet 攻击了伊朗的几处设施(包括核设施)。 Stuxnet 是一种计算机蠕虫病毒,它通过包含恶意软件的 USB 记忆棒感染 Windows 计算机。

Stuxnet 恶意软件随后通过针对机器的可编程逻辑控制器 (PLC) 来攻击机器。 这些 PLC 使机器流程自动化,这意味着 Stuxnet 可能会干扰其目标的机器。

据迈克菲称,Stuxnet 摧毁了伊朗纳坦兹铀浓缩设施中的几座水处理厂、发电厂、天然气管道和离心机。 Stuxnet 还催生了许多后代,包括 Duqu(一种从其目标计算机窃取数据的恶意软件)。

为什么零日攻击是危险的

零日攻击的财务、运营和法律影响可能是毁灭性的。 根据 Verizon 的 2021 年数据泄露调查报告,95% 的被黑客攻击的组织丢失了:

  • 250 美元到 984,855 美元之间的商业电子邮件泄露 (BEC) 攻击
  • 计算机数据泄露 (CDB) 事件在 148 美元至 1,594,648 美元之间
  • 勒索软件事件在 69 美元至 1,155,755 美元之间

但是,即使您没有赔钱,零日攻击仍然具有破坏性。 原因如下:

他们可能会在几天、几个月甚至几年内未被发现

由于开发人员不知道零日漏洞,许多组织直到攻击很久之后才知道攻击者何时入侵了他们的系统。 不幸的是,这意味着黑客可能会在您阻止他们之前反复滥用您的系统。

漏洞可能难以修复

一旦您的企业得知黑客入侵了您的系统,您就需要找出漏洞所在。 由于许多组织使用多个系统,定位和修补漏洞可能需要一段时间。

黑客可以使用它们来窃取财务数据或银行信息

许多攻击者进入系统以窃取财务数据或银行信息。 一些黑客将这些数据出售给第三方,而另一些黑客会使用您的财务信息从您那里窃取资金。

犯罪分子可以利用它们来控制您的公司以勒索赎金

虽然许多黑客使用零日攻击来窃取数据,但其他人通过分布式拒绝服务 (DDoS) 攻击和其他勒索技术来勒索您的公司。 DDoS 攻击通过请求向您的网站发送垃圾邮件,直到它崩溃。

如果您想了解如何阻止 DDoS 攻击,可以阅读我们的案例研究:“如何阻止 DDoS 攻击。”

犯罪分子可以针对您的客户

如果您销售具有专用用户群的软件或硬件,黑客可能会破坏您的系统并使用它来攻击您的客户。

我们最近看到了一个毁灭性的例子,犯罪分子侵入了 Kaseya 的软件并使用他们的系统用勒索软件攻击了 Kaseya 的 800-1,500 名客户。

如何识别零日攻击

由于每种零日攻击的工作方式不同,因此没有完美的方法来检测它们。 但是,组织识别攻击的常用方法有很多。 这是其中的六个。

1. 进行漏洞扫描

漏洞扫描是在您的系统中寻找零日漏洞的过程。 一旦发现漏洞,您就可以在黑客利用它之前对其进行修补。

漏洞扫描可以是独立的活动,也可以是开发过程的常规部分。 许多组织还选择将其漏洞扫描外包给专业的网络安全公司。

2. 收集和监控系统用户的报告

当您的系统用户定期与您的系统交互时,他们可能会在您之前发现潜在问题。 当然,您应该跟踪您的用户报告,以获取有关可疑电子邮件、弹出窗口或密码尝试通知的报告。

3. 观察您网站的表现

根据 Verizon 的 2021 年数据泄露调查报告,超过 20% 的网络攻击针对 Web 应用程序。 虽然您无法始终判断黑客是否入侵了您的 Web 应用程序或网站,但如果出现以下情况,则可能有人攻击了您的网站:

  • 您无法登录
  • 您网站的外观发生了变化
  • 您的网站将访问者重定向到未知网站
  • 您的网站性能意外下降
  • 您的网站显示浏览器警告,如下所示:

来自 Google 的消息,指出网站可能已被入侵
来自 Google 的消息,指出网站可能已被入侵。

4.利用复古狩猎

追溯搜索是查找重大网络攻击报告并检查您的组织是否受到影响的过程。 为了从复古狩猎中获得最大收益,请确保您:

需要一个可以为您提供竞争优势的托管解决方案? Kinsta 为您提供令人难以置信的速度、最先进的安全性和自动缩放功能。 查看我们的计划

  • 将软件供应商的所有电子邮件发送到中央收件箱,并定期检查有关安全漏洞的通知
  • 每天扫描新闻以检查对您所在行业的组织的新攻击
  • 阅读近期攻击的详细信息,并要求您的开发人员检查您的系统是否可以承受类似的攻击

5.注意降低的网络速度

当黑客通过恶意软件访问系统时,网络流量的增加有时会减慢受害者的互联网连接速度。 因此,如果您密切关注网络速度,您可以在攻击发生时识别出攻击。

6. 跟踪您的软件性能

当有人通过漏洞访问您的系统时,他们注入到您的软件中的代码可能会减慢您的程序、更改其功能或使功能脱机。 自然,您可以通过观察系统中的重大或无法解释的变化来识别零日攻击。

如何保护自己免受零日攻击

由于您别无选择,只能坐着看着黑客窃取资金、数据和商业机密,同时等待开发人员修补漏洞,因此零日攻击压力很大。

您的组织对抗零日攻击的最佳武器是更好的准备。 这里有八种方法可以保护您的系统免受零日攻击。

1.使用安全软件

安全软件可保护您的系统免受病毒、基于 Internet 的入侵和其他安全威胁。

虽然每种软件提供的保护类型略有不同,但大多数软件解决方案都可以扫描下载的恶意软件、阻止未经授权的用户进入您的系统并加密您的数据。

一些安全软件公司还为网站开发专门的软件。 例如,如果您使用 WordPress(如 40% 的网站),您可以通过以下方式保护您的网站:

  • 文件完整性监控 (FIM) 软件
  • 寻找可疑评论的插件(如 Astra Web Security 和 WP fail2ban)
  • 保护您的网站免受暴力攻击的插件
  • 内容交付网络 (CDN)

或者,您可以使用像 Sucuri 或 Wordfence 这样的通用安全插件。

2.经常安装新的软件更新

随着黑客在过时代码中发现漏洞,更新您的网站、Web 应用程序和软件是确保系统安全的关键。 新的更新可以保护您的系统,因为:

  • 它们包含已知网络安全漏洞的补丁(包括零日漏洞)
  • 他们删除了黑客可以利用的程序的旧部分或未使用部分
  • 他们引入了新的网络安全措施以确保用户安全
  • 他们修复了容易受到模糊测试的小错误

3. 使用安全虚拟主机

黑客每天入侵超过 127,000 个网站。 由于黑客可以通过插件、网站主题或过时版本的 WordPress 核心入侵您的网站,因此 WordPress 网站是主要目标。

值得庆幸的是,您可以使用 Kinsta 等安全托管服务提供商来保护您的组织。 Kinsta 通过以下方式保护您的网站:

  • 加密安全文件传输协议 (SFTP) 和安全外壳 (SSH) 连接
  • 与 Google Cloud Platform 的安全连接
  • 黑客修复保证
  • 一个 IP 拒绝工具,可让您阻止 IP 地址访问您的网站
  • 通过 Cloudflare 的分布式拒绝服务 (DDoS) 保护和企业级防火墙
  • 每两周自动备份一次
  • 安全保证

Kinsta 的安全 WordPress 托管保证
Kinsta 的安全 WordPress 托管保证。

4.使用防火墙

防火墙正是它们听起来的样子:系统与外部世界之间的数字墙。 防火墙为您的系统增加了一层额外的保护,因为黑客需要先突破防火墙才能攻击您的系统。

您可以选择多种类型的防火墙,包括个人防火墙、数据包过滤防火墙、有状态防火墙、Web 应用程序和下一代 (NGFW) 防火墙。

5.使用最少访问规则

最少访问规则规定,您组织中的人员应该只能访问他们执行日常工作职责所需的数据、硬件和软件。

最少访问规则为使用社交工程的黑客创建的入口点更少,从而限制了对每个系统具有管理访问权限的人数。

6. 切换到 DevOps 开发

DevOps 是一种使用持续开发系统不断更新程序的方法。 它可以帮助您加强针对零日攻击的安全性,因为它会迫使您不断更新和更改系统。

如果您想了解有关 DevOps 开发的更多信息,可以阅读我们的文章“DevOps 工具”。 但简而言之,DevOps 开发遵循这个生命周期:

DevOps 生命周期图
DevOps 生命周期图。 (来源: Atlassian)

7. 实施用户安全培训

用户安全培训教您的员工识别野外的社会工程技术和安全威胁。

培训您的员工以发现网络安全威胁将帮助他们识别攻击,快速通知合适的人,并在不惊慌或向黑客提供信息的情况下采取行动。

8.使用VPN

虚拟专用网络 (VPN) 是中间服务器,可在您浏览 Internet 时保护您的浏览数据、IP 地址和连接数据。 使用 VPN 将使犯罪黑客更难通过您的网络浏览器破坏您的系统,因为他们使用的信息较少。

VPN 的工作方式如下:

VPN的工作原理
VPN如何工作。 (来源:黄石计算)

了解您需要了解的有关这种日益常见的网络漏洞形式的所有信息:零日攻击。 点击推文

概括

零日攻击越来越普遍,也是全球组织的自然担忧。 但是,您可以采取一些措施来降低受到攻击的风险,包括:

  • 培训您的员工发现和应对攻击
  • 使用网络安全措施,如 VPN、安全软件和防火墙
  • 更改您的开发过程以定期更新系统
  • 仔细控制对数据和易受攻击系统的访问
  • 使用安全的网站托管服务(如 Kinsta)

既然我们已经分享了我们的技巧,那就交给你了。 您采取了哪些措施来降低组织遭受网络攻击的风险? 请在下面的评论中告诉我们。