dark

什么是零日漏洞?为什么它们是危险的?

2021年12月6日

虽然企业总是面临许多威胁需要应对,但网络攻击正变得越来越令人担忧。零日漏洞利用是最严重的恶意软件威胁之一。

尝试免费演示

网络攻击可能会给企业带来严重后果,因为黑客可以窃取金钱、数据或知识产权,从而危及您的运营。没有一家公司可以幸免。它们影响交易者、本地企业、国家连锁店,甚至像谷歌这样的全球巨头(实际上,谷歌每年至少有 22 次不可预见的攻击)。

但这并不是说网络攻击是不可避免的。我们可以采取一些措施来保护自己。

在本文中,我们将告诉您有关零日漏洞利用的所有信息、它们为何如此危险,以及如何识别和防止它们。

开始吧!

什么是零日漏洞?

零日漏洞是您的软件或硬件中以前未被发现的安全漏洞,黑客可以利用它来破坏您的系统。零日漏洞有许多不同的名称,包括“零时漏洞”或“第 0 天漏洞”。

无论名称如何,“零日”的由来都是一样的。“零日”一词强调了问题的严重性。在有人发现零日漏洞后,开发人员有零日时间修复错误,以免其成为紧急问题。

在了解零日漏洞利用时,您可能会听到它们被称为“零日漏洞”或“零日攻击”。这些术语之间存在本质区别:

  • “零日漏洞”是指黑客用来攻击软件的方法
  • “零日漏洞”是指系统中未被发现的缺陷
  • “零日攻击”是指黑客利用漏洞破坏您的系统时采取的行动

在讨论零日漏洞时,“未发现”一词至关重要,因为系统创建者必须不知道该漏洞才能被视为“零日漏洞”。一旦开发人员知道问题并发布补丁,安全漏洞就不再是“零日漏洞”。

许多不同的人群进行零日攻击,包括:

  • 网络犯罪分子:具有经济动机的犯罪黑客
  • 黑客行动主义者:希望入侵系统以推进政治事业或议程的人
  • 企业黑客:希望了解竞争对手信息的黑客
  • 营利性黑客:发现漏洞将其出售给公司的人(但不打算自己利用漏洞)

一个如此严重的问题,以至于开发人员在它成为紧急问题之前有零天的时间来修复错误。😥 使用本指南为您的网站准备此类攻击💪点击推文

零日攻击的工作原理

虽然每次攻击都不同,但大多数攻击通常是这样工作的:

  • 第 1 步:您的开发人员创建一个系统。该系统包含一个开发人员不知道的零日漏洞。
  • 第 2 步:系统上线后,黑客(有时称为“威胁参与者”或“恶意参与者”)发现系统中存在漏洞。
  • 第 3 步:黑客编写并执行恶意代码以利用该漏洞并破坏您的系统。
  • 第 4 步:公众或开发人员注意到严重问题,开发人员通过补丁修复问题。

有时,发现您的零日威胁的黑客和攻击您的系统的黑客是不同的人。

一些黑客通过黑市向其他黑客出售信息。黑市存在于暗网上——您无法使用谷歌、雅虎和必应等搜索引擎访问的互联网部分。人们通过 Tor 等匿名浏览器访问暗网。

一些网络安全公司还寻找漏洞,将这些信息出售给系统所有者。

这些公司在“白色”或“灰色”市场上出售这些数据(尽管白色、灰色和黑色市场之间的区别因您当地的网络安全法律而异)。

黑客如何进行零日攻击黑客如何进行零日攻击。(来源:诺顿)

既然您知道零日漏洞利用的工作原理,您可能想知道黑客如何破坏您的系统。

虽然没有经过验证的方法,但许多黑客使用:

模糊测试

模糊测试(或“模糊测试”)是黑客用来查找系统漏洞的蛮力技术。

当黑客对目标进行模糊测试时,他们会使用软件将随机数据输入您系统的输入框(人们输入信息的文本框)。然后,黑客会监视表明您的代码中存在漏洞的崩溃、内存泄漏或失败的断言。

许多模糊测试技术侧重于用随机、无意义或无效的答案向输入框发送垃圾邮件。例如,如果你有一个文本框让某人输入他们的年龄,黑客会测试当他们输入“-94”或“@45”时你的系统如何响应。

社会工程学

社会工程学是黑客用来通过用户访问系统的一种操纵技术。

有许多类型的社会工程,包括:

  • 借口:当有人使用借口时,他们试图通过创造一个可信的场景来赢得你的信任。例如,他们可能会假装来自您的 IT 部门并说他们需要您的密码。
  • 当有人诱骗您时,他们会试图通过诱使您与腐败材料互动来破坏您的系统。例如,2018年,一名中国黑客向美国多个州和地方当局发送了一张神秘的CD。目的是诱使他们出于好奇打开 CD 的内容。
  • 网络钓鱼:当有人对您进行网络钓鱼时,他们会冒充您认识的人说服您向他们提供机密信息、打开恶意文件或单击损坏的链接。例如,如果您希望收到一封来自“[email protected]”的电子邮件,黑客可能会使用电子邮件地址“[email protected]”向您发送网络钓鱼邮件。由于 2019 年针对美国公司的网络攻击中有 38% 使用了网络钓鱼,因此许多公司使用 FraudLabsPro 或 Simility 等欺诈预防工具来保护自己免受网络钓鱼。

网络钓鱼电子邮件示例网络钓鱼电子邮件示例。(来源:安全世界)

一旦黑客使用社会工程破坏系统,他们就会使用用户的帐户从内部寻找零日漏洞。

共同目标

你不需要成为一家价值数十亿美元的银行公司,黑客就能瞄准你。黑客将针对他们可以从中获利的任何组织、个人或实体,尤其是:

  • 网络安全性较差的组织
  • 处理个人数据(尤其是地址、社会安全号码 (SSN)、客户的法定全名和客户的生日)的组织
  • 政府机构
  • 拥有机密信息的组织
  • 为客户创建软件或硬件的组织(因为他们可以使用该技术来攻击客户)
  • 在国防领域工作的组织

在选择攻击对象时,许多黑客会寻找容易获得高回报的目标,因为他们希望以最少的努力和风险赚取最多的收益。

尽管每个黑客的工作方式不同,但大多数目标是:

  • 操作系统
  • 网络浏览器
  • 硬件和固件
  • 软件应用
  • 物联网 (IoT) 设备

例子

尽管您可能不会经常考虑网络攻击,但它们发生的频率比您想象的要高。截至 2020 年,个人和组织已检测到超过 6.77 亿件恶意软件。这比 2010 年增加了 2,317.86%,当时人们只检测到超过 2,800 万件恶意软件。

根据 Ponemon Institute 的研究,近 48% 的组织在过去两年中经历了数据泄露。这些组织中有 62% 在攻击之前不知道该漏洞(这意味着它们是零日攻击)。

尽管大多数组织不会公开其攻击的详细信息,但我们知道过去几年发生了许多大型攻击。这些包括:

2021 年 Google Chrome 黑客

2021 年 4 月,Google 发布了适用于 Windows、Linux 和 Mac 设备的 Google Chrome 浏览器更新。除其他外,此更新修复了黑客利用的零日漏洞。他们将该漏洞称为“CVE-2021-21224”。

尽管谷歌没有分享攻击的全部细节,但 CVE-2021-21224 允许某人通过精心制作的 HTML 页面在沙箱中运行代码。

2020 年 Zoom 黑客

2020 年 7 月,网络安全公司 0patch 报告称,一名匿名人士在 Zoom 中发现了一个零日漏洞。该漏洞允许黑客在通过让用户单击链接或打开恶意软件获得入口后在 Zoom 中远程运行代码。该漏洞仅存在于运行 Windows 7 或更早版本 Windows 的计算机上。

0patch 了解到漏洞后,将信息带到了 Zoom,Zoom 的开发人员在一天内发布了针对该问题的安全补丁。

2016/2017 Microsoft Word 攻击

2016 年,Ryan Hanson(Optiv 的安全研究员和顾问)在 Microsoft Word 中发现了一个零日漏洞。该漏洞(称为“CVE-2017-0199”)允许攻击者在用户下载运行恶意脚本的 Word 文档后在用户计算机上安装恶意软件。

据路透社报道,在微软开发人员于 2017 年修补之前,黑客利用 CVE-2017-0199 从在线银行账户中窃取了数百万美元。有趣的是,汉森并不是唯一一个发现 CVE-2017-0199 的人——2017 年 4 月,迈克菲的研究人员和 FireEye 都报告发现了该漏洞。

2010 年震网攻击

2010 年,Stuxnet 攻击了伊朗的多个设施(包括核设施)。Stuxnet 是一种计算机蠕虫,它通过包含恶意软件的 U 盘感染 Windows 计算机。

Stuxnet 恶意软件随后通过针对其可编程逻辑控制器 (PLC) 来攻击机器。这些 PLC 使机器流程自动化,这意味着 Stuxnet 可能会干扰其目标的机器。

据 McAfee 称,Stuxnet 摧毁了伊朗 Natanz 铀浓缩设施中的几座水处理厂、发电厂、天然气管道和离心机。Stuxnet 还衍生了许多后代,包括 Duqu(一种从其目标计算机窃取数据的恶意软件)。

为什么零日攻击很危险

零日攻击的财务、运营和法律影响可能是毁灭性的。根据 Verizon 的 2021 年数据泄露调查报告,被黑客攻击的组织中有 95% 丢失了:

  • 商业电子邮件妥协 (BEC) 攻击在 250 至 984,855 美元之间
  • 计算机数据泄露 (CDB) 事件在 148 美元至 1,594,648 美元之间
  • 勒索软件事件在 69 美元至 1,155,755 美元之间

但是,即使您不赔钱,零日攻击仍然具有破坏性。原因如下:

它们可以在数天、数月甚至数年内未被发现

由于开发人员不知道零日漏洞,许多组织直到攻击发生很久之后才知道攻击者何时破坏了他们的系统。不幸的是,这意味着黑客可能会在您阻止他们之前反复滥用您的系统。

漏洞难以修复

一旦您的企业得知黑客入侵了您的系统,您就需要找出漏洞所在。由于许多组织使用多个系统,定位和修补漏洞可能需要一段时间。

订阅时事通讯

想知道我们是如何将流量增加超过 1000% 的吗?

加入 20,000 多名其他人的行列,他们会收到我们的每周时事通讯,其中包含 WordPress 内幕技巧!

现在订阅

黑客可以利用它们窃取财务数据或银行信息

许多攻击者进入系统窃取财务数据或银行信息。一些黑客将这些数据出售给第三方,而另一些黑客会使用您的财务信息从您那里窃取资金。

犯罪分子可以利用它们来控制您的公司以索取赎金

虽然许多黑客使用零日攻击来窃取数据,但其他黑客通过分布式拒绝服务 (DDoS) 攻击和其他赎金技术控制您的公司以索取赎金。DDoS 攻击向您的网站发送垃圾邮件,直到它崩溃为止。

如果您想了解如何阻止 DDoS 攻击,您可以阅读我们的案例研究:“如何阻止 DDoS 攻击在其轨道上。”

犯罪分子可以瞄准您的客户

如果您销售具有专门用户群的软件或硬件,黑客可能会破坏您的系统并使用它来攻击您的客户。

我们最近看到了一个毁灭性的例子,犯罪分子破坏了 Kaseya 的软件并使用他们的系统通过勒索软件攻击了 Kaseya 的 800-1,500 名客户。

如何识别零日攻击

由于每个零日攻击的工作方式不同,因此没有完美的方法来检测它们。但是,组织识别攻击的常见方式有很多。这里有六个。

1. 进行漏洞扫描

漏洞扫描是在您的系统中寻找零日漏洞的过程。一旦你发现了一个漏洞,你就会在黑客利用它之前修补它。

漏洞扫描可以是一项独立活动,也可以是开发过程的常规部分。许多组织还选择将漏洞扫描外包给专业的网络安全公司。

2. 收集和监控系统用户的报告

由于您的系统用户定期与您的系统交互,他们可能会在您之前发现潜在问题。当然,您应该跟踪您的用户报告,以获取有关可疑电子邮件、弹出窗口或密码尝试通知的报告。

3. 观察您网站的表现

根据 Verizon 的 2021 年数据泄露调查报告,超过 20% 的网络攻击针对 Web 应用程序。虽然您并不总是能够判断黑客是否破坏了您的 Web 应用程序或网站,但如果出现以下情况,则可能有人攻击了您的网站:

  • 您无法登录
  • 您网站的外观已更改
  • 您的网站将访问者重定向到未知网站
  • 您的网站性能意外下降
  • 您的网站正在显示浏览器警告,如下所示:

来自 Google 的一条消息,指出某个网站可能会遭到入侵来自 Google 的一条消息,指出某个网站可能已被入侵。

4.利用复古狩猎

追溯搜索是查找重大网络攻击报告并检查您的组织是否受到影响的过程。要从复古狩猎中获得最大收益,请确保:

  • 将来自软件供应商的所有电子邮件定向到中央收件箱,并定期查看有关安全漏洞的通知
  • 每天扫描新闻以检查对您所在行业组织的新攻击
  • 阅读最近攻击的详细信息,并要求您的开发人员检查您的系统是否可以承受类似的攻击

5. 注意网络速度降低

当黑客通过恶意软件访问系统时,网络流量的增加有时会减慢受害者的互联网连接。因此,如果您密切关注网络速度,就可以在攻击发生时识别出攻击。

需要一个为您提供竞争优势的托管解决方案?Kinsta 为您提供令人难以置信的速度、最先进的安全性和自动缩放功能。查看我们的计划

6. 跟踪您的软件性能

当有人通过漏洞访问您的系统时,他们注入到您的软件中的代码可能会减慢您的程序速度、更改其功能或使功能脱机。当然,您可以通过观察系统中的重大或无法解释的变化来识别零日攻击。

如何保护自己免受零日攻击

由于您别无选择,只能坐等黑客窃取资金、数据和商业机密,同时等待开发人员修补漏洞,因此零日攻击压力很大。

您的组织对抗零日攻击的最佳武器是更好的准备。以下是保护系统免受零日攻击的八种方法。

1. 使用安全软件

安全软件可保护您的系统免受病毒、基于 Internet 的入侵和其他安全威胁。

虽然每种软件提供的保护类型略有不同,但大多数软件解决方案都可以扫描下载的恶意软件、阻止未经授权的用户访问您的系统并加密您的数据。

一些安全软件公司还为网站开发专门的软件。例如,如果您使用 WordPress(例如 40% 的网站),您可以通过以下方式保护您的网站:

  • 文件完整性监控 (FIM) 软件
  • 寻找狡猾评论的插件(如 Astra Web Security 和 WP fail2ban)
  • 保护您的网站免受暴力攻击的插件
  • 内容交付网络 (CDN)

或者,您可以使用通用安全插件,如 Sucuri 或 Wordfence。

2. 经常安装新的软件更新

当黑客在过时的代码中发现漏洞时,更新您的网站、Web 应用程序和软件是确保系统安全的关键。新更新可以保护您的系统,因为:

  • 它们包含针对已知网络安全漏洞(包括零日漏洞利用)的补丁
  • 他们删除了黑客可以利用的旧的或未使用的程序部分
  • 他们引入了新的网络安全措施以确保用户安全
  • 他们修复了容易受到模糊测试的小错误

3. 使用安全的虚拟主机

黑客每天入侵超过 127,000 个网站。由于黑客可以通过插件、网站主题或过时版本的 WordPress 核心破坏您的网站,因此 WordPress 网站是主要目标。

值得庆幸的是,您可以使用 Kinsta 等安全托管服务提供商来保护您的组织。Kinsta 通过以下方式保护您的网站:

  • 加密的安全文件传输协议 (SFTP) 和安全外壳 (SSH) 连接
  • 与 Google Cloud Platform 的安全连接
  • 黑客修复保证
  • 一种 IP 拒绝工具,可让您阻止 IP 地址访问您的网站
  • 通过 Cloudflare 提供分布式拒绝服务 (DDoS) 保护和企业级防火墙
  • 每两周自动备份一次
  • 安全保证

Kinsta 的安全 WordPress 托管保证Kinsta 的安全 WordPress 托管保证。

4. 使用防火墙

防火墙正是它们听起来的样子:您的系统和外部世界之间的数字墙。防火墙为您的系统增加了一层额外的保护,因为黑客需要先突破防火墙才能攻击您的系统。

您可以选择多种类型的防火墙,包括个人防火墙、数据包过滤防火墙、状态防火墙、Web 应用程序和下一代 (NGFW) 防火墙。

5. 使用最少访问规则

最少访问规则规定,您组织中的人员应该只能访问他们执行日常工作所需的数据、硬件和软件。

最少访问规则为使用社会工程的黑客创建了更少的入口点,限制了对每个系统具有管理访问权限的人数。

6. 切换到 DevOps 开发

DevOps 是一种使用持续开发系统来不断更新程序的方法。它可以帮助您加强针对零日攻击的安全性,因为它迫使您不断更新和更改系统。

如果您想了解有关 DevOps 开发的更多信息,可以阅读我们的文章“DevOps 工具”。但简而言之,DevOps 开发遵循以下生命周期:

DevOps 生命周期图 DevOps 生命周期图。(来源:Atlassian)

7. 实施用户安全培训

用户安全培训教您的员工在野外识别社会工程技术和安全威胁。

培训您的员工发现网络安全威胁将帮助他们识别攻击,快速通知合适的人员,并在不惊慌或向黑客提供信息的情况下采取行动。

8. 使用 VPN

虚拟专用网络 (VPN) 是中间服务器,可在您浏览 Internet 时保护您的浏览数据、IP 地址和连接数据。使用 VPN 将使犯罪黑客更难通过您的网络浏览器破坏您的系统,因为他们可以用来对付您的信息较少。

VPN 的工作方式如下:

VPN 的工作原理VPN 的工作原理。(来源:黄石计算)

了解您需要了解的有关这种日益普遍的网络漏洞形式的所有信息:零日漏洞。😬点击推文

概括

零日攻击越来越普遍,成为全球组织的自然担忧。但是,您可以采取一些步骤来降低遭受攻击的风险,包括:

  • 培训您的员工发现和应对攻击
  • 使用 VPN、安全软件和防火墙等网络安全措施
  • 改变您的开发过程以定期更新系统
  • 仔细控制对数据和易受攻击系统的访问
  • 使用安全的网站托管服务(如 Kinsta)

既然我们已经分享了我们的技巧,那就交给你了。您采取了哪些措施来降低组织遭受网络攻击的风险?请在下面的评论中告诉我们。

通过以下方式节省时间、成本并最大限度地提高站点性能:

  • 来自 WordPress 托管专家的即时帮助,24/7。
  • Cloudflare 企业集成。
  • 全球受众覆盖全球 29 个数据中心。
  • 使用我们内置的应用程序性能监控进行优化。

所有这些以及更多,都在一个没有长期合同、协助迁移和 30 天退款保证的计划中。查看我们的计划或与销售人员交谈以找到适合您的计划。

相关文章