5 位安全專家分享防止零日攻擊的最佳實踐
已發表: 2023-01-31想像一下,您不小心將家中一扇很少使用的窗戶打開了。
在您發現東西不見了之前,您什麼都不會考慮。 小偷已經偷偷進出你的房子好幾天了,他們利用那個被忽視的窗戶來利用你的東西。
零日攻擊完全相同。 黑客在您知道系統存在漏洞之前就發現並利用了該漏洞。 在找到錯誤之前,您無法解決問題。
什麼是零日攻擊?
零日攻擊利用零日漏洞對系統造成破壞或竊取數據。 術語“零日”是指軟件供應商在攻擊前可用於為未知漏洞發布修復程序的天數(零)。
如今,在 Apple iOS、Google Chrome 和 Windows 等日常平台上發現了零日漏洞。 網絡犯罪和已發現漏洞利用的變種越來越多,這使得緩解零日攻擊變得越來越困難。
對於面臨零日攻擊帶來的網絡安全威脅的企業而言,形勢嚴峻。 感覺好像沒有希望找到並阻止這類攻擊。
但專家指出,情況並非總是如此。 使用正確的安全軟件並實施最佳網絡安全實踐可以防範零日攻擊。 繼續閱讀以了解操作方法。
什麼是零日攻擊?
顯然,軟件開發人員不想創建有錯誤的軟件,但每個軟件都有無意的缺陷。 畢竟,每 1,000 行代碼就有 3 到 20 個錯誤。 其中一些漏洞會在系統或應用程序的設計、實現或操作中造成安全漏洞。
網絡罪犯尋找這些類型的網絡安全漏洞來執行偽裝成熟悉系統的命令。 他們可以訪問和竊取受限數據,表現得像另一個用戶,或者發起拒絕服務攻擊。 例如,雲存儲中的系統漏洞可能會提供對雲上其他安全數據的訪問。
什麼是零日漏洞?
零日漏洞是任何尚未修復的軟件缺陷,因為負責它的各方沒有註意到它需要修復。
軟件供應商、開發人員和程序員總是在掃描這些錯誤。 當他們發現一個時,他們會對其進行修補。 但是,當漏洞公開且未修復時,網絡犯罪分子就可以獲得利用它的免費通行證。
由於供應商通常事先不知道此類漏洞,因此在網絡犯罪分子利用漏洞之前,他們幾乎沒有零天時間修復漏洞。
250
自 2014 年以來,谷歌的零日計劃研究人員就在野外發現了零日漏洞。
資料來源:谷歌的零項目
研究人員 Leyla Bilge 和 Tudor Dumitras 概述了零日漏洞生命週期的七個階段。
- 引入了漏洞。 您的軟件有錯誤。 這可能是編碼錯誤、缺少加密或其他任何讓未經授權的人訪問系統的原因。
- 漏洞利用在野外發布。 網絡罪犯找到漏洞,發布漏洞利用代碼或惡意負載,並使用它進行攻擊。
- 供應商發現漏洞。 供應商或負責修復軟件的各方通過持續測試或第三方研究人員發現了錯誤。 他們開始研究補丁。
- 公開披露的漏洞。 供應商或受影響方公開披露有關錯誤的信息。 該錯誤獲得了一個常見的漏洞和暴露 (CVE) 編號,以便於識別。 一些漏洞仍然是私有的,並且會悄悄地進行修補。
- 防病毒簽名已發布。 一旦有關各方知道了該漏洞,網絡安全供應商就會檢測到攻擊簽名並利用利用該漏洞製造的黑客。 然後他們更新他們的掃描和檢測系統。
- 補丁發布。 同時,軟件供應商發布漏洞補丁。 任何使用補丁更新系統的人都不再容易受到攻擊。
- 補丁部署完成。 補丁部署完成後,將無法再以任何方式利用該漏洞。
零日漏洞與零日漏洞利用與零日攻擊
將零日攻擊與零日漏洞和零日攻擊混淆是很常見的。 但它們是不同的。
零日漏洞:尚未為開發人員所知的軟件漏洞或未打補丁的缺陷。 零日漏洞可能是數據加密缺失、配置錯誤、授權不正確或編碼錯誤。
零日攻擊:網絡犯罪分子使用零日漏洞獲取系統訪問權限的技術或方法。 這些方法的範圍從魚叉式網絡釣魚到惡意軟件。
零日攻擊:破壞系統或造成數據洩露或盜竊方面損害的成功零日攻擊是零日攻擊。
相關:了解如何避免成為網絡釣魚和其他社會工程技術的受害者。
零日攻擊如何運作?
僅當您了解攻擊的工作原理時,您對零日攻擊的防禦才有效。 零日攻擊是這樣的:
- 發現漏洞。 攻擊者在流行平台中尋找關鍵的網絡安全漏洞。 他們甚至希望從黑市購買零日漏洞,在那里以高價出售零日漏洞和漏洞。
- 創建漏洞利用代碼。 黑客創建漏洞利用代碼以利用零日漏洞。 漏洞利用代碼是一段帶有小型惡意軟件的惡意代碼,在激活時會下載其他惡意軟件。 該惡意軟件允許黑客感染易受攻擊的設備、執行代碼、充當管理員或執行潛在的破壞性操作。
- 查找易受攻擊的系統。 犯罪分子使用機器人或自動掃描儀掃描易受攻擊的系統,並根據他們的動機計劃進行有針對性的攻擊或大規模攻擊。
- 部署漏洞。 攻擊者用來傳播漏洞利用的最常見策略是通過在其廣告中不知不覺地託管惡意代碼和漏洞利用的網頁。 有時,漏洞是通過電子郵件部署的。 它可以採用魚叉式網絡釣魚的形式,針對特定個人,或向一大群人發送大量網絡釣魚電子郵件。
當用戶訪問惡意網站或點擊網絡釣魚電子郵件時,攻擊者的惡意軟件就會被下載。 攻擊者還使用漏洞攻擊包,這是一組通過網頁針對不同軟件漏洞的攻擊。 這些類型的漏洞可以侵入操作系統、應用程序、網絡瀏覽器、開源組件、硬件和物聯網設備。 - 啟動漏洞。 一旦漏洞被釋放,犯罪分子就會滲透到系統中,危及設備甚至整個連接網絡的操作和數據。
黑客利用漏洞竊取數據、啟動勒索軟件或進行供應鏈攻擊。 在供應鏈攻擊方面,攻擊者通常使用零日漏洞侵入關鍵軟件供應商。 一旦進入,黑客就會在供應商不知道的情況下在應用程序中隱藏其他惡意軟件。 當軟件向公眾發佈時,惡意代碼也會與合法代碼一起下載,導致大量受害者。
例如,SolarWinds Orion 平台中的一個嚴重的零日漏洞導致了大規模的供應鏈攻擊,影響了數百家企業和政府機構。
誰執行零日攻擊?
不同類型的人出於不同的原因進行零日攻擊。 他們可能是:
- 網絡罪犯,他們這樣做是為了金錢利益。 一項研究發現,在所有利用零日漏洞的黑客組織中,有三分之一是出於經濟動機。
- 國家資助的黑客,出於政治原因或攻擊另一個國家的網絡基礎設施而這樣做。 例如,中國政府支持的威脅組織 APT41 在 2021 年使用零日漏洞攻擊美國州政府網絡。
- 出於社會或政治原因而這樣做的黑客主義者。
- 公司間諜,他們這樣做是為了監視競爭企業。
零日攻擊和零日攻擊的目標
網絡罪犯通過零日漏洞利用和攻擊針對范圍廣泛的組織。 這些包括:
- 政府機構
- 關鍵公共基礎設施
- IT、金融、媒體和醫療保健等不同行業的中小企業和大型企業
- 軟件即服務 (SaaS) 供應商、託管服務提供商 (MSP) 和雲解決方案提供商
- 知名人士
- 學術界、智囊團、大學、活動家和非政府組織
為什麼零日攻擊很危險?
零日攻擊是增長最快的網絡安全威脅之一。 隨著雲、移動和物聯網 (IoT) 技術的迅速採用,我們日常使用的軟件平台的數量和復雜性都在增加。 更多的軟件會導致更多的軟件錯誤。 更多的錯誤通常意味著更多的網關供攻擊者利用。
對於犯罪黑客來說,Microsoft Office 或 Google Chrome 等流行軟件中的漏洞代表了攻擊他們想要的任何目標的免費通行證,從財富 500 強公司到全球數百萬手機用戶。
零日攻擊之所以如此惡毒,是因為它們通常至少在十個月內才被發現——在某些情況下甚至更長。 在發現攻擊之前,軟件仍未打補丁,反病毒產品無法通過基於簽名的掃描檢測到攻擊。 它們也不太可能在蜜罐或實驗室實驗中被觀察到。
而且即使漏洞暴露,犯罪分子也會蜂擁而至,乘虛而入。 一旦未修補的漏洞被公開,只需 14 天就可以利用漏洞。 雖然攻擊最初是針對特定組織或個人的,但其他威脅參與者很快就會盡可能廣泛地利用該漏洞。
830,000
在揭示臭名昭著的 Log4j 漏洞後的 72 小時內進行了攻擊嘗試。
來源:關卡
直到最近幾年,零日攻擊主要是由國家資助的網絡組織發現和使用的。 Stuxnet 是對伊朗核計劃最著名的零日攻擊之一,據推測是美國和以色列的聯合行動。
但是今天,出於經濟動機的網絡犯罪集團使用零日攻擊。 他們使用勒索軟件通過零日攻擊賺錢。 對 IT 服務供應鏈的攻擊也越來越多,目的是針對下游第三方業務。
540萬
由於 2022 年的零日漏洞,Twitter 帳戶被發現受到數據洩露的影響。
資料來源:推特
此外,黑客可能會使用人工智能 (AI) 和機器學習 (ML) 解決方案來發起復雜的攻擊。
例如,在 2022 年,研究人員發現他們可以使用 ChatGPT 為 MacOS 創建網絡釣魚電子郵件和勒索軟件活動。 任何人,無論其技術專長如何,都可以使用這些人工智能工具按需為惡意軟件或勒索軟件創建代碼。
這些攻擊具有廣泛的影響,從數據盜竊和傳播惡意軟件到經濟損失和整個系統接管。 企業比以往任何時候都更需要為零日攻擊做好準備,以保護其數據和網絡安全。
相關:了解數據安全的含義以及確保數據安全的最佳做法。
5位專家揭示了防禦零日攻擊的常見失誤
我們向五位網絡安全專家詢問了企業所採取的最普遍且可避免的失誤,這些失誤使他們容易受到零日威脅和攻擊。 他們是這樣說的。
準備不足
Check Point Software 的 Pete Nicoletti 指出,企業,尤其是中小型企業,通常還沒有準備好應對零日攻擊。
“讓我們先看看問題的範圍。 易受攻擊的應用程序、合作夥伴、員工分佈在任何地方,包括雲資源、託管服務器、台式機、筆記本電腦、不安全的家庭無線、自帶設備、手機等。 所有這些都創造了一個非常大的威脅面,需要特定的解決方案、優先級、預算和個人關注,”Nicoletti 說。
他指出,攻擊者擁有數十億美元的勒索軟件資金,現在每個月都在創建數千個新的惡意軟件變體,以及數十億精心製作的網絡釣魚電子郵件。 他們正在利用零日漏洞並打擊未修補的薄弱環節。
“甚至一些安全供應商也有零日漏洞,並被用作利用向量,將諷刺撥盤調到最大。”
皮特尼科萊蒂
現場 CISO,Check Point 軟件
考慮到緩解零日攻擊的成本和難度,Nicoletti 堅持認為企業應該準備好以合理的支出來應對安全風險。
未修復的已知漏洞
Horangi Cyber Security 的首席執行官兼聯合創始人 Paul Hadjy 談到了正確掌握安全基礎知識的重要性。
“許多公司在處理已知漏洞的能力和機制還沒有完全成熟時,就向我們詢問如何處理零日漏洞,”Hadjy 說。
他告訴我們,雖然在零日漏洞上受到攻擊很不幸,但在已知漏洞上受到攻擊更糟糕。
“兩者都指向我們經常遇到的情況。 當組織應該關注安全基礎知識時,他們卻關注流行和相關的情況,”他說。
“對於新穎閃亮的東西,不應忽視基本的安全功能。”
保羅·哈吉
Horangi Cyber Security 首席執行官兼聯合創始人
管理不善
Rapid7 安全研究高級經理 Caitlin Condon 指出,公司缺乏基本的基礎漏洞管理實踐。
“當發生備受矚目的零日攻擊時,我們聽到組織最常問的問題是,‘我們是否使用這種易受攻擊的產品?’ 其次是'我們已經被剝削了嗎?'”康登說。
“危機不是企業開始考慮如何對庫存進行分類、設置集中式日誌記錄或警報,或者針對關鍵的、被積極利用的漏洞實施緊急修補計劃的理想時機。”
凱特琳·康登
Rapid7 安全研究高級經理
Condon 說,應對零日攻擊的最佳準備是製定良好的核心政策和實踐。 “然後,當發生以分鐘為單位衡量風險降低的網絡安全事件時,您就有了一個易於理解的基線,可以根據該基線製定應急程序、實施情報並確定補救措施的優先級。”
缺乏知名度
Microfocus 旗下業務 CyberRes 的首席安全策略師 Stan Wisseman 強調,在企業使用的軟件方面需要更好的可見性。
“組織需要提高構成其應用程序和產品的軟件組件的透明度,以便他們能夠進行快速影響分析,”Wisseman 說。 他以 Apache 中暴露 Log4Shell 或 Log4J 漏洞時發生的零日攻擊為例,解釋了這樣做的必要性。
“使用 Log4J,任何使用 Java 運行任何東西的人都必須手動向他們的供應商發送電子郵件,以確定 Log4J 是否在他們的產品中並驗證版本。 如果他們受到影響,他們必須決定如何應對。 每個人都在爭先恐後。”
他補充說,企業需要進行軟件組成分析 (SCA) 並擁有軟件物料清單 (SBOM),以快速降低零日攻擊帶來的風險。 “你需要盡職調查並確保他們已經驗證了安全控制措施,”他說。
“軟件組成分析 (SCA) 和軟件物料清單 (SBOM) 的價值在於,您可以快速響應以減輕零日攻擊帶來的風險。”
斯坦威斯曼
CyberRes 首席安全策略師
被忽視的安全性和合規性
Satori Cyber 副總裁 Ben Herzberg 分享了他對新企業在防止零日攻擊方面遇到的問題的看法。
“一般來說,新業務處於增長模式。 和瘦。 這兩個因素可能會導致忽視安全性和合規性。 這可能會導致更多的過度安全風險,包括已知的和零日的。”
零日攻擊預防:如何預防零日威脅
既然您知道了一些問題所在,請仔細閱讀有關防止零日攻擊的專家建議。
1. 了解您的風險
Condon 強調了企業了解網絡攻擊帶來的危險的重要性。
“由於保護不斷擴大的 IT 基礎設施和雲服務列表的資源有限,因此構建一個將您的特定風險背景考慮在內的安全計劃非常重要。”
凱特琳·康登
Rapid7 安全研究高級經理
“也許你是一家云優先公司,需要定制其部署和掃描規則,以防止暴露數據或產生高額賬單的錯誤配置,”她說。 “也許你是一家零售公司,其銷售點 (POS) 系統在假期期間成為攻擊目標,或者是一家生活在 99.999% 正常運行時間世界中的流媒體公司,拒絕服務攻擊是一場商業災難。”
“了解哪些類型的風險對您的業務影響最大,可以讓您構建一個安全計劃,其中的目標和指標是根據您的需求定制的,並且您可以更輕鬆地向整個組織的非安全利益相關者傳達進展和優先事項。”
除此之外,Herzberg 還強調了製定增量計劃以按風險因素解決威脅的重要性。
“你可能無法將風險降低到 0%。 因此,優先考慮高風險區域很重要……圍繞您擁有的敏感數據建立強大的安全性比通用日誌數據更重要。”
本·赫茨伯格
Satori Cyber 副總裁
2. 打好基礎
Nicoletti 說:“企業需要首先了解他們的基礎知識。”
以下是尼科萊蒂 (Nicoletti) 為企業提供的一些建議,以幫助企業做好基礎工作。
- 在支付卡行業 (PCI) 等嚴格框架中滿足每一項網絡安全合規要求。
- 確保您擁有強大的備份系統和恢復策略。 定期測試它們。
- 採用零信任策略並為您的員工和合作夥伴提供適當的訪問級別。
- 通過持續狀態評估來監控您的雲、容器和服務器,以防止配置錯誤。
- 使用您能找到的最好的電子郵件安全措施。
- 如果您沒有足夠的專家來 24/7 全天候觀察和響應,請尋找合適的託管安全服務提供商 (MSSP)。
除此之外,Wisseman 指出,網絡安全和基礎設施安全局 (CISA) 在其 Shields Up 計劃中提供的建議對於想要提高彈性的各種規模的公司來說都非常有用。
3.設置多層安全
“重要的是要確保有多層安全保護,”Herzberg 說。 “例如,如果一個端點遭到破壞,這可能是由於您無法控制的零日攻擊造成的,請考慮如何確保損害得到控制並且不會導致損害您的所有平台。” 分層方法確保攻擊者穿透一層防禦將被後續層阻止。
提示:使用 Web 應用程序防火牆工具掃描所有傳入的網絡流量以實時發現威脅。
4. 獲得事件響應和補丁管理能力
Hadjy 將這些功能稱為“基礎”,並繼續說,“許多技術,例如使用雲安全態勢管理工具和雲身份和權利管理 (CIEM),可以幫助您提高補丁管理能力,因此強烈推薦。 ”
G2 網絡安全分析師 Sarah Wallace 也提醒人們注意更新網絡安全軟件的重要性。 “網絡罪犯知道很多組織都使用過時的舊版安全軟件,因此很容易成為他們的目標,”Wallace 說。
相關:了解如何通過事件響應計劃減少安全事件響應的混亂。
5. 進行模擬和測試
Hadjy 強調通過頻繁的模擬和測試改進事件響應策略。 “制定一個可靠的計劃,然後練習、練習、再練習!”
Hadjy 向我們解釋說,進行模擬(如桌面演習)是了解您的事件響應計劃效果如何以及確定需要改進的領域的最佳方式。
“你可能無法控制何時或如何受到攻擊,但你可以控制攻擊發生時你的許多反應,”他說。 他還強調需要培養和促進強大的網絡安全文化。
“處理零日攻擊幾乎在所有方面都與處理任何其他網絡攻擊相同。 你必須對你沒有預料到的情況做出反應,而你通常只有很少的信息可以繼續下去。”
保羅·哈吉
Horangi Cyber Security 首席執行官兼聯合創始人
“確保您的整個組織都受過教育,並對網絡釣魚等潛在威脅保持警惕。 為員工提供工具和渠道來標記和報告網絡釣魚企圖和威脅,”Hadjy 說。
“如果員工從第一天起就知道安全不是需要繞過的障礙,而是業務推動因素,那麼他們在未來幾年的行為就會發生巨大變化,”Herzberg。
最後,Nicoletti 給我們留下了這個指導。 “將您的思維方式從檢測轉變為預防,因為您必須阻止零日攻擊。”
針對零日攻擊的安全解決方案
不同的安全解決方案有助於檢測和防禦零日威脅以及其他網絡安全漏洞和攻擊。 您可以根據需要組合使用這些工具並加強您企業的安全狀況。
補丁管理軟件
補丁管理解決方案可確保您的技術堆棧和 IT 基礎架構保持最新狀態。 組織利用此工具來
- 保留軟件、中間件和硬件更新的數據庫。
- 獲取有關新更新或自動更新的警報。
- 通知管理員過時的軟件使用情況。
提示:您可以使用漏洞掃描器或黑盒掃描器來修復已知漏洞。
基於風險的漏洞管理軟件
基於風險的漏洞管理軟件比傳統的漏洞管理工具更先進,可根據可定制的風險因素識別漏洞並確定漏洞的優先級。 公司可以使用此工具來
- 分析應用程序、網絡和雲服務的漏洞。
- 使用 ML 根據風險因素確定漏洞的優先級。
用於基於風險的漏洞管理的 G2 網格
攻擊面管理軟件等工具也可用於掃描和修復漏洞。
安全風險分析軟件
安全風險分析軟件監控 IT 堆棧,包括網絡、應用程序和基礎設施,以識別漏洞。 企業使用此解決方案來
- 分析公司的安全軟件、硬件和運營。
- 獲取有關其安全漏洞或漏洞的信息。
- 獲取優化 IT 系統安全規劃的建議。
用於安全風險分析的 G2 網格
入侵檢測和預防系統對於了解可疑活動、惡意軟件、社會工程攻擊和其他基於 Web 的威脅也很有用。
威脅情報軟件
威脅情報軟件提供有關最新網絡威脅的信息,無論是零日攻擊、新惡意軟件還是漏洞利用。 組織使用威脅情報軟件來
- 獲取有關新出現的威脅和漏洞的信息。
- 找出針對新出現威脅的補救措施。
- 評估不同網絡和設備類型的威脅。
安全信息和事件管理 (SIEM) 軟件
SIEM 是安全工具的組合,具有安全信息監控軟件和安全事件管理軟件的功能。 該解決方案提供單一平台來促進實時安全日誌分析、調查、異常檢測和威脅修復。 企業可以使用 SIEM 來
- 收集和存儲 IT 安全數據。
- 監控 IT 系統中的事件和異常。
- 收集威脅情報。
- 自動化威脅響應。
事件響應軟件
事件響應工具通常是抵禦任何網絡威脅的最後一道防線。 該工具用於實時修復網絡安全問題。 企業使用該解決方案來
- 監控和檢測 IT 系統中的異常情況。
- 自動化或指導安全團隊完成修復過程。
- 存儲事件數據以供分析和報告。
安全編排、自動化和響應 (SOAR) 軟件
SOAR 結合了漏洞管理、SIEM 和事件響應工具的功能。 組織使用該解決方案來
- 集成安全信息和事件響應工具。
- 構建安全響應工作流程。
- 自動執行與事件管理和響應相關的任務。
屏蔽起來
毫無疑問,零日攻擊越來越普遍且難以預防。 但是你必須對它有最好的防禦。 了解您擁有的技術棧。 維護用於查找和修復漏洞的強大安全基礎架構。
持續監控異常情況。 讓您的員工了解您的安全策略和威脅。 制定事件應對計劃,並定期對其進行測試。 緩解並遏制攻擊(如果發生)。 遵循上述安全解決方案的最佳安全實踐,您將做好準備。
詳細了解可保護您的公司免受零日威脅和其他網絡攻擊的網絡安全工具。