dark

什麼是零日漏洞?為什麼它們是危險的?

2021年12月6日

雖然企業總是面臨許多威脅需要應對,但網路攻擊正變得越來越令人擔憂。零日漏洞利用是最嚴重的惡意軟體威脅之一。

嘗試免費演示

網路攻擊可能會給企業帶來嚴重後果,因為黑客可以竊取金錢、數據或知識產權,從而危及您的運營。沒有一家公司可以倖免。它們影響交易者、本地企業、國家連鎖店,甚至像谷歌這樣的全球巨頭(實際上,谷歌每年至少有 22 次不可預見的攻擊)。

但這並不是說網路攻擊是不可避免的。我們可以採取一些措施來保護自己。

在本文中,我們將告訴您有關零日漏洞利用的所有信息、它們為何如此危險,以及如何識別和防止它們。

開始吧!

什麼是零日漏洞?

零日漏洞是您的軟體或硬體中以前未被發現的安全漏洞,黑客可以利用它來破壞您的系統。零日漏洞有許多不同的名稱,包括「零時漏洞」或「第 0 天漏洞」。

無論名稱如何,「零日」的由來都是一樣的。「零日」一詞強調了問題的嚴重性。在有人發現零日漏洞後,開發人員有零日時間修復錯誤,以免其成為緊急問題。

在了解零日漏洞利用時,您可能會聽到它們被稱為「零日漏洞」或「零日攻擊」。這些術語之間存在本質區別:

  • 「零日漏洞」是指黑客用來攻擊軟體的方法
  • 「零日漏洞」是指系統中未被發現的缺陷
  • 「零日攻擊」是指黑客利用漏洞破壞您的系統時採取的行動

在討論零日漏洞時,「未發現」一詞至關重要,因為系統創建者必須不知道該漏洞才能被視為「零日漏洞」。一旦開發人員知道問題並發布補丁,安全漏洞就不再是「零日漏洞」。

許多不同的人群進行零日攻擊,包括:

  • 網路犯罪分子:具有經濟動機的犯罪黑客
  • 黑客行動主義者:希望入侵系統以推進政治事業或議程的人
  • 企業黑客:希望了解競爭對手信息的黑客
  • 營利性黑客:發現漏洞將其出售給公司的人(但不打算自己利用漏洞)

一個如此嚴重的問題,以至於開發人員在它成為緊急問題之前有零天的時間來修復錯誤。😥 使用本指南為您的網站準備此類攻擊💪點擊推文

零日攻擊的工作原理

雖然每次攻擊都不同,但大多數攻擊通常是這樣工作的:

  • 第 1 步:您的開發人員創建一個系統。該系統包含一個開發人員不知道的零日漏洞。
  • 第 2 步:系統上線後,黑客(有時稱為「威脅參與者」或「惡意參與者」)發現系統中存在漏洞。
  • 第 3 步:黑客編寫並執行惡意代碼以利用該漏洞並破壞您的系統。
  • 第 4 步:公眾或開發人員注意到嚴重問題,開發人員通過補丁修復問題。

有時,發現您的零日威脅的黑客和攻擊您的系統的黑客是不同的人。

一些黑客通過黑市向其他黑客出售信息。黑市存在於暗網上——您無法使用谷歌、雅虎和必應等搜索引擎訪問的互聯網部分。人們通過 Tor 等匿名瀏覽器訪問暗網。

一些網路安全公司還尋找漏洞,將這些信息出售給系統所有者。

這些公司在「白色」或「灰色」市場上出售這些數據(儘管白色、灰色和黑色市場之間的區別因您當地的網路安全法律而異)。

黑客如何進行零日攻擊黑客如何進行零日攻擊。(來源:諾頓)

既然您知道零日漏洞利用的工作原理,您可能想知道黑客如何破壞您的系統。

雖然沒有經過驗證的方法,但許多黑客使用:

模糊測試

模糊測試(或「模糊測試」)是黑客用來查找系統漏洞的蠻力技術。

當黑客對目標進行模糊測試時,他們會使用軟體將隨機數據輸入您系統的輸入框(人們輸入信息的文本框)。然後,黑客會監視表明您的代碼中存在漏洞的崩潰、內存泄漏或失敗的斷言。

許多模糊測試技術側重於用隨機、無意義或無效的答案向輸入框發送垃圾郵件。例如,如果你有一個文本框讓某人輸入他們的年齡,黑客會測試當他們輸入「-94」或「@45」時你的系統如何響應。

社會工程學

社會工程學是黑客用來通過用戶訪問系統的一種操縱技術。

有許多類型的社會工程,包括:

  • 借口:當有人使用借口時,他們試圖通過創造一個可信的場景來贏得你的信任。例如,他們可能會假裝來自您的 IT 部門並說他們需要您的密碼。
  • 當有人誘騙您時,他們會試圖通過誘使您與腐敗材料互動來破壞您的系統。例如,2018年,一名中國黑客向美國多個州和地方當局發送了一張神秘的CD。目的是誘使他們出於好奇打開 CD 的內容。
  • 網路釣魚:當有人對您進行網路釣魚時,他們會冒充您認識的人說服您向他們提供機密信息、打開惡意文件或單擊損壞的鏈接。例如,如果您希望收到一封來自「[email protected]」的電子郵件,黑客可能會使用電子郵件地址「[email protected]」向您發送網路釣魚郵件。由於 2019 年針對美國公司的網路攻擊中有 38% 使用了網路釣魚,因此許多公司使用 FraudLabsPro 或 Simility 等欺詐預防工具來保護自己免受網路釣魚。

網路釣魚電子郵件示例網路釣魚電子郵件示例。(來源:安全世界)

一旦黑客使用社會工程破壞系統,他們就會使用用戶的帳戶從內部尋找零日漏洞。

共同目標

你不需要成為一家價值數十億美元的銀行公司,黑客就能瞄準你。黑客將針對他們可以從中獲利的任何組織、個人或實體,尤其是:

  • 網路安全性較差的組織
  • 處理個人數據(尤其是地址、社會安全號碼 (SSN)、客戶的法定全名和客戶的生日)的組織
  • 政府機構
  • 擁有機密信息的組織
  • 為客戶創建軟體或硬體的組織(因為他們可以使用該技術來攻擊客戶)
  • 在國防領域工作的組織

在選擇攻擊對象時,許多黑客會尋找容易獲得高回報的目標,因為他們希望以最少的努力和風險賺取最多的收益。

儘管每個黑客的工作方式不同,但大多數目標是:

  • 操作系統
  • 網路瀏覽器
  • 硬體和固件
  • 軟體應用
  • 物聯網 (IoT) 設備

例子

儘管您可能不會經常考慮網路攻擊,但它們發生的頻率比您想像的要高。截至 2020 年,個人和組織已檢測到超過 6.77 億件惡意軟體。這比 2010 年增加了 2,317.86%,當時人們只檢測到超過 2,800 萬件惡意軟體。

根據 Ponemon Institute 的研究,近 48% 的組織在過去兩年中經歷了數據泄露。這些組織中有 62% 在攻擊之前不知道該漏洞(這意味著它們是零日攻擊)。

儘管大多數組織不會公開其攻擊的詳細信息,但我們知道過去幾年發生了許多大型攻擊。這些包括:

2021 年 Google Chrome 黑客

2021 年 4 月,Google 發布了適用於 Windows、Linux 和 Mac 設備的 Google Chrome 瀏覽器更新。除其他外,此更新修復了黑客利用的零日漏洞。他們將該漏洞稱為「CVE-2021-21224」。

儘管谷歌沒有分享攻擊的全部細節,但 CVE-2021-21224 允許某人通過精心製作的 HTML 頁面在沙箱中運行代碼。

2020 年 Zoom 黑客

2020 年 7 月,網路安全公司 0patch 報告稱,一名匿名人士在 Zoom 中發現了一個零日漏洞。該漏洞允許黑客在通過讓用戶單擊鏈接或打開惡意軟體獲得入口後在 Zoom 中遠程運行代碼。該漏洞僅存在於運行 Windows 7 或更早版本 Windows 的計算機上。

0patch 了解到漏洞後,將信息帶到了 Zoom,Zoom 的開發人員在一天內發布了針對該問題的安全補丁。

2016/2017 Microsoft Word 攻擊

2016 年,Ryan Hanson(Optiv 的安全研究員和顧問)在 Microsoft Word 中發現了一個零日漏洞。該漏洞(稱為「CVE-2017-0199」)允許攻擊者在用戶下載運行惡意腳本的 Word 文檔後在用戶計算機上安裝惡意軟體。

據路透社報道,在微軟開發人員於 2017 年修補之前,黑客利用 CVE-2017-0199 從在線銀行賬戶中竊取了數百萬美元。有趣的是,漢森並不是唯一一個發現 CVE-2017-0199 的人——2017 年 4 月,邁克菲的研究人員和 FireEye 都報告發現了該漏洞。

2010 年震網攻擊

2010 年,Stuxnet 攻擊了伊朗的多個設施(包括核設施)。Stuxnet 是一種計算機蠕蟲,它通過包含惡意軟體的 U 盤感染 Windows 計算機。

Stuxnet 惡意軟體隨後通過針對其可編程邏輯控制器 (PLC) 來攻擊機器。這些 PLC 使機器流程自動化,這意味著 Stuxnet 可能會干擾其目標的機器。

據 McAfee 稱,Stuxnet 摧毀了伊朗 Natanz 鈾濃縮設施中的幾座水處理廠、發電廠、天然氣管道和離心機。Stuxnet 還衍生了許多後代,包括 Duqu(一種從其目標計算機竊取數據的惡意軟體)。

為什麼零日攻擊很危險

零日攻擊的財務、運營和法律影響可能是毀滅性的。根據 Verizon 的 2021 年數據泄露調查報告,被黑客攻擊的組織中有 95% 丟失了:

  • 商業電子郵件妥協 (BEC) 攻擊在 250 至 984,855 美元之間
  • 計算機數據泄露 (CDB) 事件在 148 美元至 1,594,648 美元之間
  • 勒索軟體事件在 69 美元至 1,155,755 美元之間

但是,即使您不賠錢,零日攻擊仍然具有破壞性。原因如下:

它們可以在數天、數月甚至數年內未被發現

由於開發人員不知道零日漏洞,許多組織直到攻擊發生很久之後才知道攻擊者何時破壞了他們的系統。不幸的是,這意味著黑客可能會在您阻止他們之前反覆濫用您的系統。

漏洞難以修復

一旦您的企業得知黑客入侵了您的系統,您就需要找出漏洞所在。由於許多組織使用多個系統,定位和修補漏洞可能需要一段時間。

訂閱時事通訊

想知道我們是如何將流量增加超過 1000% 的嗎?

加入 20,000 多名其他人的行列,他們會收到我們的每周時事通訊,其中包含 WordPress 內幕技巧!

現在訂閱

黑客可以利用它們竊取財務數據或銀行信息

許多攻擊者進入系統竊取財務數據或銀行信息。一些黑客將這些數據出售給第三方,而另一些黑客會使用您的財務信息從您那裡竊取資金。

犯罪分子可以利用它們來控制您的公司以索取贖金

雖然許多黑客使用零日攻擊來竊取數據,但其他黑客通過分散式拒絕服務 (DDoS) 攻擊和其他贖金技術控制您的公司以索取贖金。DDoS 攻擊向您的網站發送垃圾郵件,直到它崩潰為止。

如果您想了解如何阻止 DDoS 攻擊,您可以閱讀我們的案例研究:「如何阻止 DDoS 攻擊在其軌道上。」

犯罪分子可以瞄準您的客戶

如果您銷售具有專門用戶群的軟體或硬體,黑客可能會破壞您的系統並使用它來攻擊您的客戶。

我們最近看到了一個毀滅性的例子,犯罪分子破壞了 Kaseya 的軟體並使用他們的系統通過勒索軟體攻擊了 Kaseya 的 800-1,500 名客戶。

如何識別零日攻擊

由於每個零日攻擊的工作方式不同,因此沒有完美的方法來檢測它們。但是,組織識別攻擊的常見方式有很多。這裡有六個。

1. 進行漏洞掃描

漏洞掃描是在您的系統中尋找零日漏洞的過程。一旦你發現了一個漏洞,你就會在黑客利用它之前修補它。

漏洞掃描可以是一項獨立活動,也可以是開發過程的常規部分。許多組織還選擇將漏洞掃描外包給專業的網路安全公司。

2. 收集和監控系統用戶的報告

由於您的系統用戶定期與您的系統交互,他們可能會在您之前發現潛在問題。當然,您應該跟蹤您的用戶報告,以獲取有關可疑電子郵件、彈出窗口或密碼嘗試通知的報告。

3. 觀察您網站的表現

根據 Verizon 的 2021 年數據泄露調查報告,超過 20% 的網路攻擊針對 Web 應用程序。雖然您並不總是能夠判斷黑客是否破壞了您的 Web 應用程序或網站,但如果出現以下情況,則可能有人攻擊了您的網站:

  • 您無法登錄
  • 您網站的外觀已更改
  • 您的網站將訪問者重定向到未知網站
  • 您的網站性能意外下降
  • 您的網站正在顯示瀏覽器警告,如下所示:

來自 Google 的一條消息,指出某個網站可能會遭到入侵來自 Google 的一條消息,指出某個網站可能已被入侵。

4.利用復古狩獵

追溯搜索是查找重大網路攻擊報告並檢查您的組織是否受到影響的過程。要從復古狩獵中獲得最大收益,請確保:

  • 將來自軟體供應商的所有電子郵件定向到中央收件箱,並定期查看有關安全漏洞的通知
  • 每天掃描新聞以檢查對您所在行業組織的新攻擊
  • 閱讀最近攻擊的詳細信息,並要求您的開發人員檢查您的系統是否可以承受類似的攻擊

5. 注意網路速度降低

當黑客通過惡意軟體訪問系統時,網路流量的增加有時會減慢受害者的互聯網連接。因此,如果您密切關注網路速度,就可以在攻擊發生時識別出攻擊。

需要一個為您提供競爭優勢的託管解決方案?Kinsta 為您提供令人難以置信的速度、最先進的安全性和自動縮放功能。查看我們的計劃

6. 跟蹤您的軟體性能

當有人通過漏洞訪問您的系統時,他們注入到您的軟體中的代碼可能會減慢您的程序速度、更改其功能或使功能離線。當然,您可以通過觀察系統中的重大或無法解釋的變化來識別零日攻擊。

如何保護自己免受零日攻擊

由於您別無選擇,只能坐等黑客竊取資金、數據和商業機密,同時等待開發人員修補漏洞,因此零日攻擊壓力很大。

您的組織對抗零日攻擊的最佳武器是更好的準備。以下是保護系統免受零日攻擊的八種方法。

1. 使用安全軟體

安全軟體可保護您的系統免受病毒、基於 Internet 的入侵和其他安全威脅。

雖然每種軟體提供的保護類型略有不同,但大多數軟體解決方案都可以掃描下載的惡意軟體、阻止未經授權的用戶訪問您的系統並加密您的數據。

一些安全軟體公司還為網站開發專門的軟體。例如,如果您使用 WordPress(例如 40% 的網站),您可以通過以下方式保護您的網站:

  • 文件完整性監控 (FIM) 軟體
  • 尋找狡猾評論的插件(如 Astra Web Security 和 WP fail2ban)
  • 保護您的網站免受暴力攻擊的插件
  • 內容交付網路 (CDN)

或者,您可以使用通用安全插件,如 Sucuri 或 Wordfence。

2. 經常安裝新的軟體更新

當黑客在過時的代碼中發現漏洞時,更新您的網站、Web 應用程序和軟體是確保系統安全的關鍵。新更新可以保護您的系統,因為:

  • 它們包含針對已知網路安全漏洞(包括零日漏洞利用)的補丁
  • 他們刪除了黑客可以利用的舊的或未使用的程序部分
  • 他們引入了新的網路安全措施以確保用戶安全
  • 他們修復了容易受到模糊測試的小錯誤

3. 使用安全的虛擬主機

黑客每天入侵超過 127,000 個網站。由於黑客可以通過插件、網站主題或過時版本的 WordPress 核心破壞您的網站,因此 WordPress 網站是主要目標。

值得慶幸的是,您可以使用 Kinsta 等安全託管服務提供商來保護您的組織。Kinsta 通過以下方式保護您的網站:

  • 加密的安全文件傳輸協議 (SFTP) 和安全外殼 (SSH) 連接
  • 與 Google Cloud Platform 的安全連接
  • 黑客修復保證
  • 一種 IP 拒絕工具,可讓您阻止 IP 地址訪問您的網站
  • 通過 Cloudflare 提供分散式拒絕服務 (DDoS) 保護和企業級防火牆
  • 每兩周自動備份一次
  • 安全保證

Kinsta 的安全 WordPress 託管保證Kinsta 的安全 WordPress 託管保證。

4. 使用防火牆

防火牆正是它們聽起來的樣子:您的系統和外部世界之間的數字牆。防火牆為您的系統增加了一層額外的保護,因為黑客需要先突破防火牆才能攻擊您的系統。

您可以選擇多種類型的防火牆,包括個人防火牆、數據包過濾防火牆、狀態防火牆、Web 應用程序和下一代 (NGFW) 防火牆。

5. 使用最少訪問規則

最少訪問規則規定,您組織中的人員應該只能訪問他們執行日常工作所需的數據、硬體和軟體。

最少訪問規則為使用社會工程的黑客創建了更少的入口點,限制了對每個系統具有管理訪問許可權的人數。

6. 切換到 DevOps 開發

DevOps 是一種使用持續開發系統來不斷更新程序的方法。它可以幫助您加強針對零日攻擊的安全性,因為它迫使您不斷更新和更改系統。

如果您想了解有關 DevOps 開發的更多信息,可以閱讀我們的文章「DevOps 工具」。但簡而言之,DevOps 開發遵循以下生命周期:

DevOps 生命周期圖 DevOps 生命周期圖。(來源:Atlassian)

7. 實施用戶安全培訓

用戶安全培訓教您的員工在野外識別社會工程技術和安全威脅。

培訓您的員工發現網路安全威脅將幫助他們識別攻擊,快速通知合適的人員,並在不驚慌或向黑客提供信息的情況下採取行動。

8. 使用 VPN

虛擬專用網路 (VPN) 是中間伺服器,可在您瀏覽 Internet 時保護您的瀏覽數據、IP 地址和連接數據。使用 VPN 將使犯罪黑客更難通過您的網路瀏覽器破壞您的系統,因為他們可以用來對付您的信息較少。

VPN 的工作方式如下:

VPN 的工作原理VPN 的工作原理。(來源:黃石計算)

了解您需要了解的有關這種日益普遍的網路漏洞形式的所有信息:零日漏洞。😬點擊推文

概括

零日攻擊越來越普遍,成為全球組織的自然擔憂。但是,您可以採取一些步驟來降低遭受攻擊的風險,包括:

  • 培訓您的員工發現和應對攻擊
  • 使用 VPN、安全軟體和防火牆等網路安全措施
  • 改變您的開發過程以定期更新系統
  • 仔細控制對數據和易受攻擊系統的訪問
  • 使用安全的網站託管服務(如 Kinsta)

既然我們已經分享了我們的技巧,那就交給你了。您採取了哪些措施來降低組織遭受網路攻擊的風險?請在下面的評論中告訴我們。

通過以下方式節省時間、成本並最大限度地提高站點性能:

  • 來自 WordPress 託管專家的即時幫助,24/7。
  • Cloudflare 企業集成。
  • 全球受眾覆蓋全球 29 個數據中心。
  • 使用我們內置的應用程序性能監控進行優化。

所有這些以及更多,都在一個沒有長期合同、協助遷移和 30 天退款保證的計劃中。查看我們的計劃或與銷售人員交談以找到適合您的計劃。

相關文章