雖然企業一直面臨著許多威脅,但網路攻擊卻越來越令人擔憂。零日漏洞是最嚴重的惡意軟體威脅之一。
網路攻擊會給企業帶來嚴重後果,因為黑客可能竊取資金、資料或智慧財產權,從而危及企業的運營。任何公司都無法倖免。它們會影響貿易商、本地企業、全國連鎖企業,甚至像谷歌這樣的全球巨頭(事實上,谷歌每年至少遭受 22 次不可預見的攻擊)。
但這並不是說網路攻擊不可避免。我們可以採取一些措施來保護自己。
在本文中,我們將告訴你關於零日(zero-day)漏洞的一切你需要知道的資訊,為什麼它們是危險的,以及如何識別和預防它們。
什麼是零日漏洞?
零日漏洞是指軟體或硬體中以前未被發現的安全漏洞,黑客可以利用這些漏洞入侵系統。零日漏洞有許多不同的名稱,包括 “零時漏洞” 或 “零日漏洞”。
無論名稱如何,”零日” 的起源都是一樣的。零日一詞強調了問題的嚴重性。在有人發現零日漏洞後,開發人員有零天的時間來修復錯誤,以免成為緊急問題。
在瞭解零日漏洞時,你可能會聽到它們被稱為 “零日漏洞” 或 “零日攻擊”。這些術語之間有本質區別:
- “零日漏洞” 是指黑客攻擊軟體的方法
- “零日漏洞” 是指系統中未發現的缺陷
- “零日攻擊” 指黑客利用漏洞入侵系統時採取的行動
在討論零日漏洞時,”未被發現” 一詞至關重要,因為漏洞必須是系統建立者未知的,才能被視為 “零日漏洞”。一旦開發人員知道了這個問題併發布了補丁,安全漏洞就不再是 “零日漏洞” 了。
有許多不同的群體在實施零日攻擊,其中包括
- 網路罪犯:出於經濟動機的犯罪黑客
- 黑客行動主義者:尋求入侵系統以推進政治事業或議程的人
- 企業黑客:希望瞭解競爭對手資訊的黑客
- 營利黑客:發現漏洞賣給公司的人(但自己並不打算利用漏洞)
零日攻擊如何運作
雖然每次攻擊都不盡相同,但大多數攻擊一般都是這樣進行的:
- 第 1 步:開發人員建立一個系統。該系統包含開發人員不知道的零日漏洞。
- 第 2 步:系統上線後,黑客(有時稱為 “威脅行動者 “或 “惡意行動者”)發現了系統中的漏洞。
- 第 3 步:黑客編寫並執行惡意程式碼,利用漏洞入侵系統。
- 第 4 步:公眾或開發人員發現嚴重問題,開發人員使用補丁修復問題。
有時,發現你的零日威脅的黑客和攻擊你係統的黑客是不同的人。
有些黑客通過黑市向其他黑客出售資訊。黑市存在於暗網-谷歌、雅虎和必應等搜尋引擎無法訪問的網際網路部分。人們通過 Tor 等匿名瀏覽器訪問暗網。
一些網路安全公司也會尋找漏洞,將資訊賣給系統所有者。
這些公司通過 “白色” 或 “灰色” 市場出售這些資料(但白色、灰色和黑色市場之間的區別因當地網路安全法律而異)。
黑客如何實施零日攻擊 (來源:諾頓)
既然你已經知道了零日漏洞的原理,那麼你可能會想知道黑客是如何入侵你的系統的。
雖然沒有屢試不爽的方法,但許多黑客都會使用:
模糊處理
模糊(或 “模糊測試”)是黑客用來查詢系統漏洞的一種暴力技術。
當黑客對目標進行模糊測試時,他們會使用軟體在系統的輸入框(人們輸入資訊的文字框)中輸入隨機資料。然後,黑客會觀察系統是否出現崩潰、記憶體洩漏或斷言失敗等表明程式碼存在漏洞的情況。
許多模糊測試技術的重點是在輸入框中輸入隨機、無意義或無效的答案。例如,如果您有一個文字框讓使用者輸入自己的年齡,黑客就會測試當使用者輸入”-94″ 或 “@45” 時系統的反應。
社交工程
社交工程是黑客用來通過使用者訪問系統的一種操縱技術。
社交工程有多種型別,包括
- 藉口:當有人使用藉口時,他們會試圖通過製造一個可信的場景來獲得你的信任。例如,他們可能假裝是 IT 部門的人,說他們需要你的密碼。
- 當有人誘騙你時,他們試圖通過引誘你與腐敗材料互動來入侵你的系統。
- 網路釣魚:當有人對你進行網路釣魚時,他們會冒充你認識的人,說服你向他們提供機密資訊、開啟惡意檔案或點選損壞的連結。例如,如果您正在等待一封來自 “sally@maccounting.com” 的電子郵件,黑客可能會使用電子郵件地址 “sally@rnaccounting.com “對您進行網路釣魚。2019 年,38% 針對美國公司的網路攻擊都使用了網路釣魚,因此許多公司都使用 FraudLabsPro 或 Simility 等欺詐預防工具來防止網路釣魚。
網路釣魚電子郵件示例 (來源:SecureWorld)
一旦黑客利用社會工程學入侵系統,他們就會使用使用者賬戶從內部尋找零日漏洞。
常見目標
黑客的攻擊目標不一定是價值數十億美元的銀行公司。黑客會瞄準任何組織、個人或實體,尤其是他們可以從中獲利的組織、個人或實體:
- 網路安全性差的組織
- 處理個人資料(尤其是地址、社會安全號 (SSN)、客戶法定全名和客戶生日)的機構
- 政府機構
- 擁有機密資訊的組織
- 為客戶開發軟體或硬體的組織(因為他們可以利用技術黑客攻擊客戶)
- 國防領域的組織
在選擇黑客時,許多黑客都會尋找容易得手、回報高的目標,因為他們想用最少的精力和風險賺最多的錢。
儘管每個黑客的工作方式不同,但大多數黑客的目標都是:
- 作業系統
- 網路瀏覽器
- 硬體和韌體
- 軟體應用程式
- 物聯網(IoT)裝置
例項
儘管您可能不會經常想到網路攻擊,但它們發生的頻率可能比您意識到的還要高。截至 2020 年,個人和組織已檢測到超過 6.77 億個惡意軟體。這比 2010 年增長了 2317.86%,當時人們只檢測到 2800 多萬個惡意軟體。
根據 Ponemon 研究所的研究,近 48% 的組織在過去兩年中遭遇過資料洩露。其中 62% 的組織在攻擊前並不知道存在漏洞(即零日攻擊)。
雖然大多陣列織不會公開其攻擊的細節,但我們知道過去幾年中發生了許多大型攻擊事件。其中包括:
2021 年穀歌瀏覽器黑客攻擊
2021 年 4 月,谷歌釋出了 Windows、Linux 和 Mac 裝置上的谷歌 Chrome 瀏覽器更新。除其他外,該更新還修復了一個被黑客利用的零日漏洞。他們將該漏洞稱為 “CVE-2021-21224″。
雖然谷歌沒有透露攻擊的全部細節,但 CVE-2021-21224 允許黑客通過偽造的 HTML 頁面在沙盒中執行程式碼。
2020 年的 Zoom 黑客攻擊
2020 年 7 月,網路安全公司 0patch 報告稱,一名匿名者發現了 Zoom 的零日漏洞。該漏洞允許黑客通過讓使用者點選連結或開啟惡意軟體進入 Zoom,從而遠端執行程式碼。該漏洞僅存在於執行 Windows 7 或更早版本 Windows 的計算機上。
在得知該漏洞後,0patch 將資訊告知 Zoom,Zoom 的開發人員在一天之內就釋出了針對該問題的安全補丁。
2016/2017 年微軟 Word 攻擊事件
2016 年,Ryan Hanson(Optiv 的安全研究員兼顧問)在 Microsoft Word 中發現了一個零日漏洞。該漏洞(稱為 “CVE-2017-0199″)允許攻擊者在使用者下載執行惡意指令碼的 Word 文件後,在使用者的計算機上安裝惡意軟體。
據路透社報道,在微軟開發人員於 2017 年修補該漏洞之前,黑客利用 CVE-2017-0199 從網上銀行賬戶竊取了數百萬美元。有趣的是,Hanson 並不是唯一發現 CVE-2017-0199 的人- 2017 年 4 月,McAfee 和 FireEye 的研究人員都報告發現了該漏洞。
2010 年的 Stuxnet 攻擊
2010 年,Stuxnet 攻擊了伊朗的一些設施(包括核設施)。Stuxnet 是一種計算機蠕蟲病毒,通過含有惡意軟體的 USB 盤感染 Windows 計算機。
然後,Stuxnet 惡意軟體針對機器的可程式設計邏輯控制器 (PLC) 發起攻擊。這些 PLC 實現了機器流程的自動化,這意味著 Stuxnet 可以干擾目標機器。
據 McAfee 稱,Stuxnet 破壞了伊朗納坦茲鈾濃縮設施的多個水處理廠、發電廠、天然氣管道和離心機。Stuxnet 還衍生出許多後代,包括 Duqu(一種從目標計算機中竊取資料的惡意軟體)。
零日攻擊為何危險
零日攻擊對財務、運營和法律的影響可能是毀滅性的。根據 Verizon 的《2021 年資料洩露調查報告》,95% 的黑客攻擊目標組織損失了:
- 在商業電子郵件洩密 (BEC) 攻擊中損失 250-984,855 美元
- 在計算機資料洩露 (CDB) 事件中損失 148-1,594,648 美元
- 勒索軟體事件在 69-1,155,755 美元之間
然而,即使您沒有損失金錢,零日攻擊仍然具有破壞性。原因如下:
它們可能幾天、幾個月甚至幾年都不被發現。
由於零日漏洞不為開發人員所知,許多組織直到攻擊發生很久之後才知道攻擊者已經入侵了他們的系統。不幸的是,這意味著黑客可能會在你阻止他們之前反覆濫用你的系統。
漏洞可能難以修復
一旦企業得知黑客入侵了系統,就需要找出漏洞所在。由於許多企業使用多個系統,因此可能需要一段時間才能找到並修補漏洞。
黑客可利用漏洞竊取財務資料或銀行資訊
許多攻擊者進入系統是為了竊取財務資料或銀行資訊。有些黑客會將這些資料賣給第三方,而有些黑客則會利用你的財務資訊來竊取你的錢財。
犯罪分子可利用它們勒索公司贖金
雖然許多黑客使用零日攻擊來竊取資料,但也有一些黑客通過分散式拒絕服務(DDoS)攻擊和其他贖金技術來勒索您的公司。DDoS 攻擊會向您的網站傳送大量請求,直到網站崩潰。
如果您想了解如何阻止 DDoS 攻擊,可以閱讀我們的案例研究: “如何從根本上阻止 DDoS 攻擊“。
犯罪分子可以瞄準您的客戶
如果您銷售的軟體或硬體有專門的使用者群,黑客就可能攻破您的系統,並藉此攻擊您的客戶。
我們最近就看到了這樣一個極具破壞性的例子:犯罪分子入侵了卡西亞的軟體,並利用他們的系統使用勒索軟體攻擊了卡西亞的 800-1,500 名客戶。
如何識別零日攻擊
由於每種零日攻擊的作用方式不同,因此沒有完美的檢測方法。不過,企業識別攻擊有許多常見的方法。以下是其中六種。
1. 進行漏洞掃描
漏洞掃描是在系統中查詢零日漏洞的過程。一旦發現漏洞,就要在黑客利用漏洞之前打上補丁。
漏洞掃描可以是一項獨立的活動,也可以是開發流程的常規部分。許多組織還選擇將漏洞掃描外包給專門的網路安全公司。
2. 收集和監控系統使用者的報告
由於系統使用者經常與系統互動,他們可能會比您更早發現潛在的問題。當然,您應該跟蹤使用者報告,瞭解可疑電子郵件、彈出視窗或密碼嘗試通知的報告。
3. 關注網站效能
根據 Verizon 的《2021 年資料洩露調查報告》,超過 20% 的網路攻擊針對網路應用程式。雖然您不一定能知道黑客是否入侵了您的網路應用程式或網站,但如果出現以下情況,您的網站就可能受到了攻擊:
- 無法登入
- 網站外觀發生變化
- 您的網站將訪問者重定向到一個未知網站
- 網站效能意外下降
- 您的網站顯示瀏覽器警告,比如這個:
來自 Google 的資訊,說明網站可能已被入侵。
4. 利用回溯狩獵
追溯查詢是查詢重大網路攻擊報告並檢查貴組織是否受到影響的過程。要充分利用追溯獵殺,請確保您:
- 將來自軟體供應商的所有電子郵件轉發到一箇中央收件箱,並定期檢查是否有關於安全漏洞的通知
- 每天掃描新聞,檢視您所在行業的組織是否受到新的攻擊
- 閱讀近期攻擊的詳細資訊,並要求開發人員檢查您的系統是否能抵禦類似攻擊
5. 注意網路速度降低
當黑客通過惡意軟體訪問系統時,網路流量的增加有時會降低受害者的網路連線速度。因此,如果您密切關注網路速度,就能在攻擊發生時及時發現。
6. 跟蹤軟體效能
當有人通過漏洞進入你的系統時,他們注入軟體的程式碼可能會減慢程式的執行速度、改變其功能或使功能離線。當然,您可以通過觀察系統中重大或無法解釋的變化來識別零日攻擊。
如何保護自己免受零日漏洞攻擊
在等待開發人員修補漏洞的同時,您別無選擇,只能眼睜睜地看著黑客竊取資金、資料和商業機密,零日攻擊讓人倍感壓力。
企業抵禦零日攻擊的最佳武器是做好準備。以下是保護系統免受零日攻擊的八種方法。
1. 使用安全軟體
安全軟體可以保護系統免受病毒、基於網際網路的入侵和其他安全威脅。
雖然每種軟體提供的保護型別略有不同,但大多數軟體解決方案都可以掃描下載的惡意軟體、阻止未經授權的使用者進入系統並加密資料。
一些安全軟體公司還為網站開發了專門的軟體。例如,如果您使用 WordPress(與 40% 的網站一樣),您可以使用以下軟體保護您的網站:
- 檔案完整性監控(FIM)軟體
- 查詢可疑評論的外掛(如 Astra Web Security 和 WP fail2ban)
- 保護網站免受暴力攻擊的外掛
- 內容分發網路(CDN)
或者,您也可以使用 Sucuri 或 Wordfence 等通用安全外掛。
2. 經常安裝新的軟體更新
黑客會從過時的程式碼中發現漏洞,因此更新網站、網路應用程式和軟體是確保系統安全的關鍵。新更新可以保護系統,因為:
- 它們包含已知網路安全漏洞(包括零日漏洞)的補丁程式
- 刪除程式中可能被黑客利用的舊的或未使用的部分
- 引入新的網路安全措施,確保使用者安全
- 修復容易被模糊處理的小漏洞
3. 使用安全的虛擬主機
黑客每天入侵超過 127,000 個網站。由於黑客可以通過外掛、網站主題或過時的 WordPress 核心版本入侵您的網站,因此 WordPress 網站是黑客的首要目標。
幸好,您可以使用安全託管服務提供商來保護您的組織。如通過以下方式保護您的網站:
- 加密的安全檔案傳輸協議(SFTP)和安全外殼(SSH)連線
- 與雲平臺的安全連線
- 黑客修復保證
- IP 拒絕工具,可阻止 IP 地址訪問您的網站
- 通過 Cloudflare 提供分散式拒絕服務 (DDoS) 保護和企業級防火牆
- 每兩週自動備份一次
- 惡意軟體安全承諾
伺服器託管保證
4. 使用防火牆
防火牆就像它的名字一樣:系統與外部世界之間的數字牆。防火牆為你的系統增加了一層額外的保護,因為黑客需要先攻破防火牆,然後才能攻擊你的系統。
您可以選擇多種型別的防火牆,包括個人防火牆、資料包過濾防火牆、狀態防火牆、網路應用防火牆和下一代(NGFW)防火牆。
5. 使用最少訪問規則
最少訪問規則是指企業中的人員只能訪問履行正常工作職責所需的資料、硬體和軟體。
最少訪問規則為使用社會工程學的黑客創造了更少的切入點,限制了擁有每個系統管理訪問許可權的人數。
6. 轉向 DevOps 開發
DevOps 是一種使用持續開發系統不斷更新程式的方法。它可以幫助你加強安全防範零日漏洞,因為它迫使你不斷更新和改變系統。
如果您想了解有關 DevOps 開發的更多資訊,可以閱讀我們的文章 “DevOps 工具“。總之,DevOps 開發遵循以下生命週期:
DevOps 生命週期示意圖 (來源:Atlassian)
7. 實施使用者安全培訓
使用者安全培訓可教會員工識別社會工程技術和野生安全威脅。
對員工進行識別網路安全威脅的培訓將幫助他們識別攻擊,迅速通知正確的人,並在不驚慌失措或向黑客提供資訊的情況下采取行動。
8. 使用 VPN
虛擬專用網路(VPN)是一種中間伺服器,可以在你瀏覽網際網路時保護你的瀏覽資料、IP 地址和連線資料。使用 VPN 會讓黑客犯罪分子更難通過你的網路瀏覽器入侵你的系統,因為他們可以用來對付你的資訊更少。
VPN 是這樣工作的:
VPN 的工作原理 (來源:Yellowstone Computing)
小結
零日攻擊越來越常見,這自然是全球組織的擔憂。不過,您可以採取一些措施來降低受攻擊的風險,其中包括:
- 培訓員工識別和應對攻擊
- 使用 VPN、安全軟體和防火牆等網路安全措施
- 改變開發流程,定期更新系統
- 謹慎控制資料和易受攻擊系統的訪問許可權
- 使用安全的網站託管服務
既然我們已經分享了我們的建議,現在就交給您了。您採取了哪些措施來降低組織遭受網路攻擊的風險?請在下面的評論中告訴我們。
評論留言