什么是零日漏洞？为什么它们很危险？

虽然企业一直面临着许多威胁，但网络攻击却越来越令人担忧。零日漏洞是最严重的恶意软件威胁之一。

网络攻击会给企业带来严重后果，因为黑客可能窃取资金、数据或知识产权，从而危及企业的运营。任何公司都无法幸免。它们会影响贸易商、本地企业、全国连锁企业，甚至像谷歌这样的全球巨头（事实上，谷歌每年至少遭受 22 次不可预见的攻击）。

但这并不是说网络攻击不可避免。我们可以采取一些措施来保护自己。

在本文中，我们将告诉你关于零日（zero-day）漏洞的一切你需要知道的信息，为什么它们是危险的，以及如何识别和预防它们。

什么是零日漏洞？

零日漏洞是指软件或硬件中以前未被发现的安全漏洞，黑客可以利用这些漏洞入侵系统。零日漏洞有许多不同的名称，包括 “零时漏洞” 或 “零日漏洞”。

无论名称如何，”零日” 的起源都是一样的。零日一词强调了问题的严重性。在有人发现零日漏洞后，开发人员有零天的时间来修复错误，以免成为紧急问题。

在了解零日漏洞时，你可能会听到它们被称为 “零日漏洞” 或 “零日攻击”。这些术语之间有本质区别：

• “零日漏洞” 是指黑客攻击软件的方法
• “零日漏洞” 是指系统中未发现的缺陷
• “零日攻击” 指黑客利用漏洞入侵系统时采取的行动

在讨论零日漏洞时，”未被发现” 一词至关重要，因为漏洞必须是系统创建者未知的，才能被视为 “零日漏洞”。一旦开发人员知道了这个问题并发布了补丁，安全漏洞就不再是 “零日漏洞” 了。

有许多不同的群体在实施零日攻击，其中包括

• 网络罪犯：出于经济动机的犯罪黑客
• 黑客行动主义者：寻求入侵系统以推进政治事业或议程的人
• 企业黑客：希望了解竞争对手信息的黑客
• 营利黑客：发现漏洞卖给公司的人（但自己并不打算利用漏洞）

零日攻击如何运作

虽然每次攻击都不尽相同，但大多数攻击一般都是这样进行的：

• 第 1 步：开发人员创建一个系统。该系统包含开发人员不知道的零日漏洞。
• 第 2 步：系统上线后，黑客（有时称为 “威胁行动者 “或 “恶意行动者”）发现了系统中的漏洞。
• 第 3 步：黑客编写并执行恶意代码，利用漏洞入侵系统。
• 第 4 步：公众或开发人员发现严重问题，开发人员使用补丁修复问题。

有时，发现你的零日威胁的黑客和攻击你系统的黑客是不同的人。

有些黑客通过黑市向其他黑客出售信息。黑市存在于暗网-谷歌、雅虎和必应等搜索引擎无法访问的互联网部分。人们通过 Tor 等匿名浏览器访问暗网。

一些网络安全公司也会寻找漏洞，将信息卖给系统所有者。

这些公司通过 “白色” 或 “灰色” 市场出售这些数据（但白色、灰色和黑色市场之间的区别因当地网络安全法律而异）。

黑客如何实施零日攻击 (来源：诺顿）

既然你已经知道了零日漏洞的原理，那么你可能会想知道黑客是如何入侵你的系统的。

虽然没有屡试不爽的方法，但许多黑客都会使用：

模糊处理

模糊（或 “模糊测试”）是黑客用来查找系统漏洞的一种暴力技术。

当黑客对目标进行模糊测试时，他们会使用软件在系统的输入框（人们输入信息的文本框）中输入随机数据。然后，黑客会观察系统是否出现崩溃、内存泄漏或断言失败等表明代码存在漏洞的情况。

许多模糊测试技术的重点是在输入框中输入随机、无意义或无效的答案。例如，如果您有一个文本框让用户输入自己的年龄，黑客就会测试当用户输入”-94″ 或 “@45” 时系统的反应。

社交工程

社交工程是黑客用来通过用户访问系统的一种操纵技术。

社交工程有多种类型，包括

• 借口：当有人使用借口时，他们会试图通过制造一个可信的场景来获得你的信任。例如，他们可能假装是 IT 部门的人，说他们需要你的密码。
• 当有人诱骗你时，他们试图通过引诱你与腐败材料互动来入侵你的系统。
• 网络钓鱼：当有人对你进行网络钓鱼时，他们会冒充你认识的人，说服你向他们提供机密信息、打开恶意文件或点击损坏的链接。例如，如果您正在等待一封来自 “sally@maccounting.com” 的电子邮件，黑客可能会使用电子邮件地址 “sally@rnaccounting.com “对您进行网络钓鱼。2019 年，38% 针对美国公司的网络攻击都使用了网络钓鱼，因此许多公司都使用 FraudLabsPro 或 Simility 等欺诈预防工具来防止网络钓鱼。

网络钓鱼电子邮件示例 (来源：SecureWorld）

一旦黑客利用社会工程学入侵系统，他们就会使用用户账户从内部寻找零日漏洞。

常见目标

黑客的攻击目标不一定是价值数十亿美元的银行公司。黑客会瞄准任何组织、个人或实体，尤其是他们可以从中获利的组织、个人或实体：

• 网络安全性差的组织
• 处理个人数据（尤其是地址、社会安全号 (SSN)、客户法定全名和客户生日）的机构
• 政府机构
• 拥有机密信息的组织
• 为客户开发软件或硬件的组织（因为他们可以利用技术黑客攻击客户）
• 国防领域的组织

在选择黑客时，许多黑客都会寻找容易得手、回报高的目标，因为他们想用最少的精力和风险赚最多的钱。

尽管每个黑客的工作方式不同，但大多数黑客的目标都是：

• 操作系统
• 网络浏览器
• 硬件和固件
• 软件应用程序
• 物联网（IoT）设备

实例

尽管您可能不会经常想到网络攻击，但它们发生的频率可能比您意识到的还要高。截至 2020 年，个人和组织已检测到超过 6.77 亿个恶意软件。这比 2010 年增长了 2317.86%，当时人们只检测到 2800 多万个恶意软件。

根据 Ponemon 研究所的研究，近 48% 的组织在过去两年中遭遇过数据泄露。其中 62% 的组织在攻击前并不知道存在漏洞（即零日攻击）。

虽然大多数组织不会公开其攻击的细节，但我们知道过去几年中发生了许多大型攻击事件。其中包括：

2021 年谷歌浏览器黑客攻击

2021 年 4 月，谷歌发布了 Windows、Linux 和 Mac 设备上的谷歌 Chrome 浏览器更新。除其他外，该更新还修复了一个被黑客利用的零日漏洞。他们将该漏洞称为 “CVE-2021-21224″。

虽然谷歌没有透露攻击的全部细节，但 CVE-2021-21224 允许黑客通过伪造的 HTML 页面在沙盒中运行代码。

2020 年的 Zoom 黑客攻击

2020 年 7 月，网络安全公司 0patch 报告称，一名匿名者发现了 Zoom 的零日漏洞。该漏洞允许黑客通过让用户点击链接或打开恶意软件进入 Zoom，从而远程运行代码。该漏洞仅存在于运行 Windows 7 或更早版本 Windows 的计算机上。

在得知该漏洞后，0patch 将信息告知 Zoom，Zoom 的开发人员在一天之内就发布了针对该问题的安全补丁。

2016/2017 年微软 Word 攻击事件

2016 年，Ryan Hanson（Optiv 的安全研究员兼顾问）在 Microsoft Word 中发现了一个零日漏洞。该漏洞（称为 “CVE-2017-0199″）允许攻击者在用户下载运行恶意脚本的 Word 文档后，在用户的计算机上安装恶意软件。

据路透社报道，在微软开发人员于 2017 年修补该漏洞之前，黑客利用 CVE-2017-0199 从网上银行账户窃取了数百万美元。有趣的是，Hanson 并不是唯一发现 CVE-2017-0199 的人- 2017 年 4 月，McAfee 和 FireEye 的研究人员都报告发现了该漏洞。

2010 年的 Stuxnet 攻击

2010 年，Stuxnet 攻击了伊朗的一些设施（包括核设施）。Stuxnet 是一种计算机蠕虫病毒，通过含有恶意软件的 USB 盘感染 Windows 计算机。

然后，Stuxnet 恶意软件针对机器的可编程逻辑控制器 (PLC) 发起攻击。这些 PLC 实现了机器流程的自动化，这意味着 Stuxnet 可以干扰目标机器。

据 McAfee 称，Stuxnet 破坏了伊朗纳坦兹铀浓缩设施的多个水处理厂、发电厂、天然气管道和离心机。Stuxnet 还衍生出许多后代，包括 Duqu（一种从目标计算机中窃取数据的恶意软件）。

零日攻击为何危险

零日攻击对财务、运营和法律的影响可能是毁灭性的。根据 Verizon 的《2021 年数据泄露调查报告》，95% 的黑客攻击目标组织损失了:

• 在商业电子邮件泄密 (BEC) 攻击中损失 250-984,855 美元
• 在计算机数据泄露 (CDB) 事件中损失 148-1,594,648 美元
• 勒索软件事件在 69-1,155,755 美元之间

然而，即使您没有损失金钱，零日攻击仍然具有破坏性。原因如下：

它们可能几天、几个月甚至几年都不被发现。

由于零日漏洞不为开发人员所知，许多组织直到攻击发生很久之后才知道攻击者已经入侵了他们的系统。不幸的是，这意味着黑客可能会在你阻止他们之前反复滥用你的系统。

漏洞可能难以修复

一旦企业得知黑客入侵了系统，就需要找出漏洞所在。由于许多企业使用多个系统，因此可能需要一段时间才能找到并修补漏洞。

黑客可利用漏洞窃取财务数据或银行信息

许多攻击者进入系统是为了窃取财务数据或银行信息。有些黑客会将这些数据卖给第三方，而有些黑客则会利用你的财务信息来窃取你的钱财。

犯罪分子可利用它们勒索公司赎金

虽然许多黑客使用零日攻击来窃取数据，但也有一些黑客通过分布式拒绝服务（DDoS）攻击和其他赎金技术来勒索您的公司。DDoS 攻击会向您的网站发送大量请求，直到网站崩溃。

如果您想了解如何阻止 DDoS 攻击，可以阅读我们的案例研究： “如何从根本上阻止 DDoS 攻击“。

犯罪分子可以瞄准您的客户

如果您销售的软件或硬件有专门的用户群，黑客就可能攻破您的系统，并借此攻击您的客户。

我们最近就看到了这样一个极具破坏性的例子：犯罪分子入侵了卡西亚的软件，并利用他们的系统使用勒索软件攻击了卡西亚的 800-1,500 名客户。

如何识别零日攻击

由于每种零日攻击的作用方式不同，因此没有完美的检测方法。不过，企业识别攻击有许多常见的方法。以下是其中六种。

1. 进行漏洞扫描

漏洞扫描是在系统中查找零日漏洞的过程。一旦发现漏洞，就要在黑客利用漏洞之前打上补丁。

漏洞扫描可以是一项独立的活动，也可以是开发流程的常规部分。许多组织还选择将漏洞扫描外包给专门的网络安全公司。

2. 收集和监控系统用户的报告

由于系统用户经常与系统互动，他们可能会比您更早发现潜在的问题。当然，您应该跟踪用户报告，了解可疑电子邮件、弹出窗口或密码尝试通知的报告。

3. 关注网站性能

根据 Verizon 的《2021 年数据泄露调查报告》，超过 20% 的网络攻击针对网络应用程序。虽然您不一定能知道黑客是否入侵了您的网络应用程序或网站，但如果出现以下情况，您的网站就可能受到了攻击：

• 无法登录
• 网站外观发生变化
• 您的网站将访问者重定向到一个未知网站
• 网站性能意外下降
• 您的网站显示浏览器警告，比如这个：

来自 Google 的信息，说明网站可能已被入侵。

4. 利用回溯狩猎

追溯查询是查找重大网络攻击报告并检查贵组织是否受到影响的过程。要充分利用追溯猎杀，请确保您：

• 将来自软件供应商的所有电子邮件转发到一个中央收件箱，并定期检查是否有关于安全漏洞的通知
• 每天扫描新闻，查看您所在行业的组织是否受到新的攻击
• 阅读近期攻击的详细信息，并要求开发人员检查您的系统是否能抵御类似攻击

5. 注意网络速度降低

当黑客通过恶意软件访问系统时，网络流量的增加有时会降低受害者的网络连接速度。因此，如果您密切关注网络速度，就能在攻击发生时及时发现。

6. 跟踪软件性能

当有人通过漏洞进入你的系统时，他们注入软件的代码可能会减慢程序的运行速度、改变其功能或使功能离线。当然，您可以通过观察系统中重大或无法解释的变化来识别零日攻击。

如何保护自己免受零日漏洞攻击

在等待开发人员修补漏洞的同时，您别无选择，只能眼睁睁地看着黑客窃取资金、数据和商业机密，零日攻击让人倍感压力。

企业抵御零日攻击的最佳武器是做好准备。以下是保护系统免受零日攻击的八种方法。

1. 使用安全软件

安全软件可以保护系统免受病毒、基于互联网的入侵和其他安全威胁。

虽然每种软件提供的保护类型略有不同，但大多数软件解决方案都可以扫描下载的恶意软件、阻止未经授权的用户进入系统并加密数据。

一些安全软件公司还为网站开发了专门的软件。例如，如果您使用 WordPress（与 40% 的网站一样），您可以使用以下软件保护您的网站：

• 文件完整性监控（FIM）软件
• 查找可疑评论的插件（如 Astra Web Security 和 WP fail2ban）
• 保护网站免受暴力攻击的插件
• 内容分发网络（CDN）

或者，您也可以使用 Sucuri 或 Wordfence 等通用安全插件。

2. 经常安装新的软件更新

黑客会从过时的代码中发现漏洞，因此更新网站、网络应用程序和软件是确保系统安全的关键。新更新可以保护系统，因为：

• 它们包含已知网络安全漏洞（包括零日漏洞）的补丁程序
• 删除程序中可能被黑客利用的旧的或未使用的部分
• 引入新的网络安全措施，确保用户安全
• 修复容易被模糊处理的小漏洞

3. 使用安全的虚拟主机

黑客每天入侵超过 127,000 个网站。由于黑客可以通过插件、网站主题或过时的 WordPress 核心版本入侵您的网站，因此 WordPress 网站是黑客的首要目标。

幸好，您可以使用安全托管服务提供商来保护您的组织。如通过以下方式保护您的网站：

• 加密的安全文件传输协议（SFTP）和安全外壳（SSH）连接
• 与云平台的安全连接
• 黑客修复保证
• IP 拒绝工具，可阻止 IP 地址访问您的网站
• 通过 Cloudflare 提供分布式拒绝服务 (DDoS) 保护和企业级防火墙
• 每两周自动备份一次
• 恶意软件安全承诺

服务器托管保证

4. 使用防火墙

防火墙就像它的名字一样：系统与外部世界之间的数字墙。防火墙为你的系统增加了一层额外的保护，因为黑客需要先攻破防火墙，然后才能攻击你的系统。

您可以选择多种类型的防火墙，包括个人防火墙、数据包过滤防火墙、状态防火墙、网络应用防火墙和下一代（NGFW）防火墙。

5. 使用最少访问规则

最少访问规则是指企业中的人员只能访问履行正常工作职责所需的数据、硬件和软件。

最少访问规则为使用社会工程学的黑客创造了更少的切入点，限制了拥有每个系统管理访问权限的人数。

6. 转向 DevOps 开发

DevOps 是一种使用持续开发系统不断更新程序的方法。它可以帮助你加强安全防范零日漏洞，因为它迫使你不断更新和改变系统。

如果您想了解有关 DevOps 开发的更多信息，可以阅读我们的文章 “DevOps 工具“。总之，DevOps 开发遵循以下生命周期：

DevOps 生命周期示意图 (来源：Atlassian）

7. 实施用户安全培训

用户安全培训可教会员工识别社会工程技术和野生安全威胁。

对员工进行识别网络安全威胁的培训将帮助他们识别攻击，迅速通知正确的人，并在不惊慌失措或向黑客提供信息的情况下采取行动。

8. 使用 VPN

虚拟专用网络（VPN）是一种中间服务器，可以在你浏览互联网时保护你的浏览数据、IP 地址和连接数据。使用 VPN 会让黑客犯罪分子更难通过你的网络浏览器入侵你的系统，因为他们可以用来对付你的信息更少。

VPN 是这样工作的：

VPN 的工作原理  (来源：Yellowstone Computing)

小结

零日攻击越来越常见，这自然是全球组织的担忧。不过，您可以采取一些措施来降低受攻击的风险，其中包括：

• 培训员工识别和应对攻击
• 使用 VPN、安全软件和防火墙等网络安全措施
• 改变开发流程，定期更新系统
• 谨慎控制数据和易受攻击系统的访问权限
• 使用安全的网站托管服务

既然我们已经分享了我们的建议，现在就交给您了。您采取了哪些措施来降低组织遭受网络攻击的风险？请在下面的评论中告诉我们。