什麼是零日漏洞? 為什麼它們很危險?

已發表: 2021-12-04

雖然企業一直面臨許多威脅,但網絡攻擊正變得越來越令人擔憂。 零日漏洞利用是最嚴重的惡意軟件威脅之一。

網絡攻擊可能會對企業造成嚴重後果,因為黑客可以竊取金錢、數據或知識產權,從而危及您的運營。 沒有公司能倖免。 它們影響到貿易商、本地企業、全國連鎖店,甚至像谷歌這樣的全球巨頭(事實上,谷歌每年至少有 22 次不可預見的攻擊)。

但這並不是說網絡攻擊是不可避免的。 我們可以採取一些措施來保護自己。

在本文中,我們將告訴您有關零日攻擊的所有信息,它們為何危險,以及如何識別和預防它們。

開始吧!

什麼是零日漏洞?

零日漏洞利用是您的軟件或硬件中以前未被發現的安全漏洞,黑客可以利用該漏洞破壞您的系統。 零日漏洞利用有許多不同的名稱,包括“零小時漏洞利用”或“day0 漏洞利用”。

不管叫什麼名字,“零日”的由來都是一樣的。 “零日”一詞強調了問題的嚴重性。 有人發現零日漏洞後,開發人員有零日時間來修復錯誤,以免成為緊急問題。

在了解零日攻擊時,您可能會聽到它們被稱為“零日漏洞”或“零日攻擊”。 這些術語之間有一個本質的區別:

  • “零日漏洞”是指黑客用來攻擊軟件的方法
  • “零日漏洞”是指系統中未被發現的漏洞
  • “零日攻擊”是指黑客利用漏洞入侵您的系統時所採取的行動

在討論零日漏洞時,“未發現”一詞至關重要,因為系統的創建者必須不知道該漏洞才能被視為“零日漏洞”。 一旦開發人員知道問題並發布了補丁,安全漏洞就不再是“零日漏洞”。

許多不同的人群進行零日攻擊,包括:

  • 網絡犯罪分子具有經濟動機的犯罪黑客
  • 黑客主義者:希望侵入系統以推進政治事業或議程的人
  • 企業黑客:希望了解競爭對手信息的黑客
  • 營利性黑客:發現漏洞並將其出售給公司的人(但不打算自己利用漏洞)

零日漏洞利用聽起來很可怕:一個如此嚴重的問題,以至於開發人員有零日時間來修復錯誤,然後才成為緊急問題。 使用本指南為您的網站準備此類攻擊點擊鳴叫

零日攻擊的工作原理

雖然每次攻擊都不同,但大多數攻擊通常是這樣工作的:

  • 第 1 步:您的開發人員創建一個系統。 該系統包含一個開發人員不知道的零日漏洞。
  • 第 2 步:系統上線後,黑客(有時稱為“威脅行為者”或“惡意行為者”)發現系統中的漏洞。
  • 第 3 步:黑客編寫並執行惡意代碼以利用該漏洞並破壞您的系統。
  • 第 4 步:公眾或開發人員都注意到了一個嚴重的問題,開發人員通過補丁修復了該問題。

有時,發現您的零日威脅的黑客和攻擊您系統的黑客是不同的人。

一些黑客通過黑市向其他黑客出售信息。 黑市存在於暗網上——這是你無法通過谷歌、雅虎和必應等搜索引擎訪問的互聯網部分。 人們通過 Tor 等匿名瀏覽器訪問暗網。

一些網絡安全公司還尋找利用漏洞將這些信息出售給系統所有者。

這些公司通過“白色”或“灰色”市場出售這些數據(儘管白色、灰色和黑色市場之間的區別取決於您當地的網絡安全法律)。

黑客如何進行零日攻擊
黑客如何進行零日攻擊。 (來源:諾頓)

既然您知道了零日漏洞的工作原理,您可能想知道黑客是如何破壞您的系統的。

雖然沒有行之有效的方法,但許多黑客使用:

模糊測試

模糊測試(或“模糊測試”)是黑客用來發現系統漏洞的蠻力技術。

當黑客對目標進行模糊測試時,他們會使用將隨機數據輸入系統輸入框(人們輸入信息的文本框)的軟件。 然後,黑客監視表明代碼中存在漏洞的崩潰、內存洩漏或失敗的斷言。

許多模糊測試技術專注於向輸入框發送隨機、無意義或無效答案的垃圾郵件。 例如,如果您有一個文本框供某人輸入他們的年齡(以年為單位),黑客會測試以查看您的系統在他們輸入“-94”或“@45”時如何響應。

社會工程學

社會工程是黑客用來通過其用戶訪問系統的一種操縱技術。

有許多類型的社會工程,包括:

  • 藉口:當有人使用藉口時,他們試圖通過創造一個可信的場景來獲得你的信任。 例如,他們可能會假裝來自您的 IT 部門並說他們需要您的密碼。
  • 當有人引誘您時,他們試圖通過誘使您與腐敗材料互動來破壞您的系統。 例如,2018 年,一名中國黑客向美國多個州和地方當局發送了一張神秘的 CD。 目的是誘使他們出於好奇而打開 CD 的內容。
  • 網絡釣魚:當有人對您進行網絡釣魚時,他們會冒充您認識的人,以說服您向他們提供機密信息、打開惡意文件或單擊損壞的鏈接。 例如,如果您希望收到來自“[email protected]”的電子郵件,黑客可能會使用“[email protected]”的電子郵件地址對您進行網絡釣魚。 由於 2019 年對美國公司的網絡攻擊中有 38% 使用網絡釣魚,因此許多公司使用 FraudLabsPro 或 Simility 等欺詐預防工具保護自己免受網絡釣魚。

網絡釣魚電子郵件示例
網絡釣魚電子郵件示例。 (來源: SecureWorld)

一旦黑客使用社會工程來破壞系統,他們就會使用用戶的帳戶從內部尋找零日漏洞。

共同目標

你不需要成為一家價值數十億美元的銀行公司,黑客就會瞄准你。 黑客將針對他們可以從中獲利的任何組織、個人或實體,尤其是:

  • 網絡安全性差的組織
  • 處理個人數據(尤其是地址、社會安全號碼 (SSN)、客戶的法定全名和客戶的生日)的組織
  • 政府機構
  • 擁有機密信息的組織
  • 為客戶創建軟件或硬件的組織(因為他們可以使用該技術來破解客戶)
  • 在國防領域工作的組織

在選擇攻擊誰時,許多黑客會尋找能夠產生高回報的簡單目標,因為他們希望以最少的努力和風險賺最多的錢。

儘管每個黑客的工作方式不同,但大多數目標是:

  • 操作系統
  • 網絡瀏覽器
  • 硬件和固件
  • 軟件應用
  • 物聯網 (IoT) 設備

例子

儘管您可能不會經常考慮網絡攻擊,但它們發生的頻率比您想像的要多。 截至 2020 年,個人和組織已檢測到超過 6.77 億件惡意軟件。 這比 2010 年增加了 2,317.86%,當時人們只檢測到超過 2800 萬件惡意軟件。

根據 Ponemon Institute 的研究,近 48% 的組織在過去兩年中經歷過數據洩露。 這些組織中有 62% 在攻擊之前沒有意識到漏洞(這意味著它們是零日攻擊)。

儘管大多數組織沒有公開他們的攻擊細節,但我們知道過去幾年發生了許多大型攻擊。 這些包括:

2021 年 Google Chrome 黑客攻擊

2021 年 4 月,Google 發布了適用於 Windows、Linux 和 Mac 設備的 Google Chrome 瀏覽器的更新。 除其他外,此更新修復了黑客利用的零日漏洞。 他們將該漏洞稱為“CVE-2021-21224”。

儘管谷歌沒有分享攻擊的全部細節,但 CVE-2021-21224 允許某人通過精心設計的 HTML 頁面在沙箱中運行代碼。

2020 年變焦黑客

2020 年 7 月,網絡安全公司 0patch 報告稱,一名匿名人士在 Zoom 中發現了一個零日漏洞。 該漏洞允許黑客通過讓用戶單擊鏈接或打開惡意軟件獲得進入權限後,在 Zoom 中遠程運行代碼。 該漏洞僅存在於運行 Windows 7 或更早版本的 Windows 的計算機上。

得知漏洞後,0patch 將信息提供給 Zoom,Zoom 的開發人員在一天內發布了針對該問題的安全補丁。

2016/2017 Microsoft Word 攻擊

2016 年,Ryan Hanson(來自 Optiv 的安全研究員和顧問)發現了 Microsoft Word 中的一個零日漏洞。 該漏洞(稱為“CVE-2017-0199”)允許攻擊者在用戶下載運行惡意腳本的 Word 文檔後在用戶計算機上安裝惡意軟件。

據路透社報導,在 2017 年微軟開發人員修補它之前,黑客利用 CVE-2017-0199 從在線銀行賬戶中竊取了數百萬美元。有趣的是,漢森並不是唯一一個發現 CVE-2017-0199 的人——在 2017 年 4 月,McAfee 的研究人員和 FireEye 都報告說發現了這個漏洞。

2010 年 Stuxnet 攻擊

2010 年,Stuxnet 攻擊了伊朗的幾處設施(包括核設施)。 Stuxnet 是一種計算機蠕蟲病毒,它通過包含惡意軟件​​的 USB 記憶棒感染 Windows 計算機。

Stuxnet 惡意軟件隨後通過針對機器的可編程邏輯控制器 (PLC) 來攻擊機器。 這些 PLC 使機器流程自動化,這意味著 Stuxnet 可能會干擾其目標的機器。

據邁克菲稱,Stuxnet 摧毀了伊朗納坦茲鈾濃縮設施中的幾座水處理廠、發電廠、天然氣管道和離心機。 Stuxnet 還催生了許多後代,包括 Duqu(一種從其目標計算機竊取數據的惡意軟件)。

為什麼零日攻擊是危險的

零日攻擊的財務、運營和法律影響可能是毀滅性的。 根據 Verizon 的 2021 年數據洩露調查報告,95% 的被黑客攻擊的組織丟失了:

  • 250 美元到 984,855 美元之間的商業電子郵件洩露 (BEC) 攻擊
  • 計算機數據洩露 (CDB) 事件在 148 美元至 1,594,648 美元之間
  • 勒索軟件事件在 69 美元至 1,155,755 美元之間

但是,即使您沒有賠錢,零日攻擊仍然具有破壞性。 原因如下:

他們可能會在幾天、幾個月甚至幾年內未被發現

由於開發人員不知道零日漏洞,許多組織直到攻擊很久之後才知道攻擊者何時入侵了他們的系統。 不幸的是,這意味著黑客可能會在您阻止他們之前反复濫用您的系統。

漏洞可能難以修復

一旦您的企業得知黑客入侵了您的系統,您就需要找出漏洞所在。 由於許多組織使用多個系統,定位和修補漏洞可能需要一段時間。

黑客可以使用它們來竊取財務數據或銀行信息

許多攻擊者進入系統以竊取財務數據或銀行信息。 一些黑客將這些數據出售給第三方,而另一些黑客會使用您的財務信息從您那裡竊取資金。

犯罪分子可以利用它們來控制您的公司以勒索贖金

雖然許多黑客使用零日攻擊來竊取數據,但其他人通過分佈式拒絕服務 (DDoS) 攻擊和其他勒索技術來勒索您的公司。 DDoS 攻擊通過請求向您的網站發送垃圾郵件,直到它崩潰。

如果您想了解如何阻止 DDoS 攻擊,可以閱讀我們的案例研究:“如何阻止 DDoS 攻擊。”

犯罪分子可以針對您的客戶

如果您銷售具有專用用戶群的軟件或硬件,黑客可能會破壞您的系統並使用它來攻擊您的客戶。

我們最近看到了一個毀滅性的例子,犯罪分子侵入了 Kaseya 的軟件並使用他們的系統用勒索軟件攻擊了 Kaseya 的 800-1,500 名客戶。

如何識別零日攻擊

由於每種零日攻擊的工作方式不同,因此沒有完美的方法來檢測它們。 但是,組織識別攻擊的常用方法有很多。 這是其中的六個。

1. 進行漏洞掃描

漏洞掃描是在您的系統中尋找零日漏洞的過程。 一旦發現漏洞,您就可以在黑客利用它之前對其進行修補。

漏洞掃描可以是獨立的活動,也可以是開發過程的常規部分。 許多組織還選擇將其漏洞掃描外包給專業的網絡安全公司。

2. 收集和監控系統用戶的報告

當您的系統用戶定期與您的系統交互時,他們可能會在您之前發現潛在問題。 當然,您應該跟踪您的用戶報告,以獲取有關可疑電子郵件、彈出窗口或密碼嘗試通知的報告。

3. 觀察您網站的表現

根據 Verizon 的 2021 年數據洩露調查報告,超過 20% 的網絡攻擊針對 Web 應用程序。 雖然您無法始終判斷黑客是否入侵了您的 Web 應用程序或網站,但如果出現以下情況,則可能有人攻擊了您的網站:

  • 您無法登錄
  • 您網站的外觀發生了變化
  • 您的網站將訪問者重定向到未知網站
  • 您的網站性能意外下降
  • 您的網站顯示瀏覽器警告,如下所示:

來自 Google 的消息,指出網站可能已被入侵
來自 Google 的消息,指出網站可能已被入侵。

4.利用複古狩獵

追溯搜索是查找重大網絡攻擊報告並檢查您的組織是否受到影響的過程。 為了從復古狩獵中獲得最大收益,請確保您:

需要一個可以為您提供競爭優勢的託管解決方案? Kinsta 為您提供令人難以置信的速度、最先進的安全性和自動縮放功能。 查看我們的計劃

  • 將軟件供應商的所有電子郵件發送到中央收件箱,並定期檢查有關安全漏洞的通知
  • 每天掃描新聞以檢查對您所在行業的組織的新攻擊
  • 閱讀近期攻擊的詳細信息,並要求您的開發人員檢查您的系統是否可以承受類似的攻擊

5.注意降低的網絡速度

當黑客通過惡意軟件訪問系統時,網絡流量的增加有時會減慢受害者的互聯網連接速度。 因此,如果您密切關注網絡速度,您可以在攻擊發生時識別出攻擊。

6. 跟踪您的軟件性能

當有人通過漏洞訪問您的系統時,他們注入到您的軟件中的代碼可能會減慢您的程序、更改其功能或使功能脫機。 自然,您可以通過觀察系統中的重大或無法解釋的變化來識別零日攻擊。

如何保護自己免受零日攻擊

由於您別無選擇,只能坐著看著黑客竊取資金、數據和商業機密,同時等待開發人員修補漏洞,因此零日攻擊壓力很大。

您的組織對抗零日攻擊的最佳武器是更好的準備。 這裡有八種方法可以保護您的系統免受零日攻擊。

1.使用安全軟件

安全軟件可保護您的系統免受病毒、基於 Internet 的入侵和其他安全威脅。

雖然每種軟件提供的保護類型略有不同,但大多數軟件解決方案都可以掃描下載的惡意軟件、阻止未經授權的用戶進入您的系統並加密您的數據。

一些安全軟件公司還為網站開發專門的軟件。 例如,如果您使用 WordPress(如 40% 的網站),您可以通過以下方式保護您的網站:

  • 文件完整性監控 (FIM) 軟件
  • 尋找可疑評論的插件(如 Astra Web Security 和 WP fail2ban)
  • 保護您的網站免受暴力攻擊的插件
  • 內容交付網絡 (CDN)

或者,您可以使用像 Sucuri 或 Wordfence 這樣的通用安全插件。

2.經常安裝新的軟件更新

隨著黑客在過時代碼中發現漏洞,更新您的網站、Web 應用程序和軟件是確保系統安全的關鍵。 新的更新可以保護您的系統,因為:

  • 它們包含已知網絡安全漏洞的補丁(包括零日漏洞)
  • 他們刪除了黑客可以利用的程序的舊部分或未使用部分
  • 他們引入了新的網絡安全措施以確保用戶安全
  • 他們修復了容易受到模糊測試的小錯誤

3. 使用安全虛擬主機

黑客每天入侵超過 127,000 個網站。 由於黑客可以通過插件、網站主題或過時版本的 WordPress 核心入侵您的網站,因此 WordPress 網站是主要目標。

值得慶幸的是,您可以使用 Kinsta 等安全託管服務提供商來保護您的組織。 Kinsta 通過以下方式保護您的網站:

  • 加密安全文件傳輸協議 (SFTP) 和安全外殼 (SSH) 連接
  • 與 Google Cloud Platform 的安全連接
  • 黑客修復保證
  • 一個 IP 拒絕工具,可讓您阻止 IP 地址訪問您的網站
  • 通過 Cloudflare 的分佈式拒絕服務 (DDoS) 保護和企業級防火牆
  • 每兩周自動備份一次
  • 安全保證

Kinsta 的安全 WordPress 託管保證
Kinsta 的安全 WordPress 託管保證。

4.使用防火牆

防火牆正是它們聽起來的樣子:系統與外部世界之間的數字牆。 防火牆為您的系統增加了一層額外的保護,因為黑客需要先突破防火牆才能攻擊您的系統。

您可以選擇多種類型的防火牆,包括個人防火牆、數據包過濾防火牆、有狀態防火牆、Web 應用程序和下一代 (NGFW) 防火牆。

5.使用最少訪問規則

最少訪問規則規定,您組織中的人員應該只能訪問他們執行日常工作職責所需的數據、硬件和軟件。

最少訪問規則為使用社交工程的黑客創建的入口點更少,從而限制了對每個系統具有管理訪問權限的人數。

6. 切換到 DevOps 開發

DevOps 是一種使用持續開發系統不斷更新程序的方法。 它可以幫助您加強針對零日攻擊的安全性,因為它會迫使您不斷更新和更改系統。

如果您想了解有關 DevOps 開發的更多信息,可以閱讀我們的文章“DevOps 工具”。 但簡而言之,DevOps 開發遵循這個生命週期:

DevOps 生命週期圖
DevOps 生命週期圖。 (來源: Atlassian)

7. 實施用戶安全培訓

用戶安全培訓教您的員工識別野外的社會工程技術和安全威脅。

培訓您的員工以發現網絡安全威脅將幫助他們識別攻擊,快速通知合適的人,並在不驚慌或向黑客提供信息的情況下採取行動。

8.使用VPN

虛擬專用網絡 (VPN) 是中間服務器,可在您瀏覽 Internet 時保護您的瀏覽數據、IP 地址和連接數據。 使用 VPN 將使犯罪黑客更難通過您的網絡瀏覽器破壞您的系統,因為他們使用的信息較少。

VPN 的工作方式如下:

VPN的工作原理
VPN如何工作。 (來源:黃石計算)

了解您需要了解的有關這種日益常見的網絡漏洞形式的所有信息:零日攻擊。 點擊推文

概括

零日攻擊越來越普遍,也是全球組織的自然擔憂。 但是,您可以採取一些措施來降低受到攻擊的風險,包括:

  • 培訓您的員工發現和應對攻擊
  • 使用網絡安全措施,如 VPN、安全軟件和防火牆
  • 更改您的開發過程以定期更新系統
  • 仔細控制對數據和易受攻擊系統的訪問
  • 使用安全的網站託管服務(如 Kinsta)

既然我們已經分享了我們的技巧,那就交給你了。 您採取了哪些措施來降低組織遭受網絡攻擊的風險? 請在下面的評論中告訴我們。