0 day攻击 101:它是什么以及如何处理它

漏洞公布 小布 366浏览 1评论

术语零日是指使用所述软件的组织以及开发该软件的第三方供应商都不知道的计算机软件漏洞。如果没有适当的缓解措施,黑客可以利用系统安全中的这个缺陷来感染它或以其他方式破坏它。这被称为零日攻击。

 

但什么是零日攻击?而且,更重要的是,您如何防止有人损害您的企业?在接下来的几行中,我将回顾它的定义和攻击向量,并给出一些相关的例子来说明它是如何展开的。然后,我将介绍在您的企业中处理零日攻击的基本概念。让我们进入它。

什么是0 day攻击?

那么,什么是0 day攻击?

0 day(或零小时或零日)攻击或威胁是一种计算机威胁,它试图利用其他人未知或软件开发人员未公开的计算机应用程序漏洞。在软件开发人员发现漏洞之前,攻击者使用或共享零日漏洞(可以使用安全漏洞进行攻击的实际代码)。

零日攻击向量

网络犯罪分子利用各种媒介来传递他们的有效载荷并渗透到公司网络中。在零日攻击的情况下,可以确定三个主要的攻击向量:

  • 恶意网站,黑客利用它们来利用您的 Web 浏览器中的安全漏洞。它们被注入恶意代码,一旦用户访问受感染的页面就会激活。这种零日攻击媒介特别有利可图,因为浏览器被组织和家庭用户广泛使用。
  • 网络钓鱼电子邮件,通过操纵简单邮件传输协议 (SMTP) 通信系统,发现网络犯罪分子发送受感染的链接或附件。终端用户通过巧妙的社会工程策略被诱骗打开它们,这可能导致整个业务网络的损坏。
  • 恶意软件,专门设计用于滥用常见文件类型的安全漏洞。这允许恶意的第三方访问和窃取机密数据,以及破坏部分或整个受攻击系统。

零日攻击示例

发现安全漏洞与其缓解之间的时间跨度称为漏洞窗口。这是可能发生零日攻击的时候。为了更好地说明这种类型的事件,我在下面包含了五个示例,让我们来看看每个示例。

图片来源:布尔云安

震网

Stuxnet是一种恶意计算机蠕虫,它对伊朗、印度和印度尼西亚的多起零日攻击负责。它于 2010 年首次发现,但其根源可追溯到 2005 年,它影响了运行可编程逻辑控制器 (PLC) 软件的制造计算机。该威胁利用了西门子 Step7 PLC 软件中的一个漏洞,导致装配线上出现不稳定行为。它的主要目标是伊朗的铀浓缩工厂,企图破坏该国成功的核计划。

RSA

计算机和网络安全公司 RSA 是2011 年零日攻击的目标,当时黑客利用当时未修补的 Adob​​e Flash Player 漏洞进入其系统。网络犯罪分子以 Excel 电子表格的形式向几名员工发送了恶意 Flash 附件。当打开它时,宏就偷偷安装了 Poison Ivy 远程管理工具,让他们可以控制整个设备。然后攻击者继续搜索和复制敏感的公司数据,以用于他们自己的恶意目的。

索尼

2014 年对美国娱乐公司索尼影业的臭名昭著的零日攻击是网络历史上的一个关键时刻。有传言称某个民族国家行为者为了报复当时尚未上映的一部戏仿其极权主义领导人的电影而渗透到该企业的系统中,很快就出现并被揭穿,围绕这一事件在全球范围内引起轰动。实际情况是未知的网络犯罪分子正在寻求并成功访问私人公司数据,例如高管电子邮件、商业计划和电影上映日期。

微软

几天前公开的最近一次零日攻击是针对微软,这家位于华盛顿的知名跨国技术公司。它影响了微软的 Exchange Server 2013、Exchange Server 2016 和 Exchange Server 2019。

如何应对零日攻击

适当的零日攻击策略应包括三个主要元素: 检测、缓解预防。我在下面详细介绍了它们中的每一个,以及您可以在过程中的每个点使用的网络安全工具的有用建议。

#1 如何检测零日攻击

入侵防御和检测系统等传统网络安全工具通过将其签名与已知问题列表进行比较来检测传入的网络威胁。但是,零日攻击没有签名,因为尚未对该漏洞进行分析。使用它的罪犯很可能是其中之一,如果不是第一个发现它的话。

因此,通过标准方法很难检测到零日攻击。这就是为什么您的企业需要由人工智能和沙箱分析提供支持的高级威胁检测算法,例如我们的布尔云安 下一代端点防病毒和 MDM 提供的算法。与我们专有的布尔云安 威胁防护产品结合使用时,它是您的系统针对希望利用您的安全漏洞的黑客的最佳防线。

防病毒软件已不足以保证组织系统的安全。

布尔云安 威胁预防 – 端点

是我们的下一代主动防护罩,可在未知威胁到达您的系统之前阻止它们。
  • 机器学习驱动的扫描所有传入的在线流量;
  • 在敏感信息暴露给外部之前阻止数据泄露;
  • 适用于所有端点的高级 DNS、HTTP 和 HTTPS 过滤;
  • 防止数据泄露、APT、勒索软件和漏洞利用;

#2 如何缓解零日攻击

零日攻击很难缓解,因为除非您拥有强大的 NGAV 和 DNS 过滤器组合来保护您,否则它们可能会潜入您的系统而未被发现。我建议您在得到任何网络犯罪分子已经渗透到您的网络的迹象后立即做的一件事是使网络脱机并进行调查以找到事件的来源。阻止其传播后,您可以专注于修补端点上存在的漏洞。

#3 如何防止零日攻击

考虑到缓解是多么棘手,预防仍然是您最好的选择。完全防止零日攻击占领您的公司网络的推荐方法是在各自的开发人员发布补丁后立即应用补丁。我们的补丁和资产管理等自动软件更新程序可以帮助您实现这一目标。

关于零日攻击的最终想法

保护您的企业免受零日攻击对于您的数据完整性至关重要。这种类型的威胁特别棘手,因为它通常无法在标准黑名单中找到。因此,您的公司需要制定适当的检测、缓解和预防策略。与往常一样,布尔云安 可以为您提供帮助,因此请随时通过https://www.booleblog.com/与我们联系进行咨询。

 

 

转载请注明:布尔云安的博客 » 0 day攻击 101:它是什么以及如何处理它

头像
发表我的评论
取消评论
表情

Hi,您需要填写昵称和邮箱!

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址

网友最新评论 (1)