什么是零日漏洞?
零日漏洞是指供应商未知的系统或软件漏洞,在发现时还没有补丁或缓解手段。当威胁者开发并发布针对零日漏洞的恶意软件时,就会发生零日攻击。利用这些安全漏洞,攻击者可以访问关键系统并窃取敏感信息。
零日漏洞对组织构成高风险,因为它们通常在安全研究人员或软件开发人员意识到这些漏洞并发布补丁之前就被发现,从而使威胁行为者得以利用漏洞并从中获利。
零日攻击如何运作
威胁行为者发现系统或软件漏洞后,会迅速编写并实施利用代码,然后将其部署以利用零日漏洞。只要零时差漏洞没有补丁,威胁者通常就会利用社会工程学攻击和漏洞利用代码来利用易受攻击的系统。
漏洞和目标对社会工程学攻击的易感性相结合,解释了为什么零日攻击总是非常成功,并带来巨大的安全风险。
零日攻击示例
几个众所周知的零日漏洞已经造成了重大问题。
俄罗斯黑客集团 "锶"(Strontium)于 2016 年 针对民主党全国代表大会发起了鱼叉式网络钓鱼活动,发送了针对微软 Windows 和 Adobe Flash 漏洞的鱼叉式网络钓鱼电子邮件。这些安全漏洞允许攻击者安装后门,通过后门访问设备的浏览器。
根据谷歌病毒猎杀团队 VirusTotal据谷歌病毒猎杀团队 VirusTotal 称,该漏洞于 2019 年 1 月被发现。该漏洞允许攻击者利用 Windows 验证文件签名的方式。通过这个漏洞,攻击者可以将恶意文件附加到一个已经由微软或谷歌进行代码签名的文件上,从而通过 Windows 安全漏洞。
零日漏洞与零日漏洞利用
虽然这两个术语可以互换使用,但零日漏洞是指软件开发者不知道软件中存在的漏洞。如果不发布补丁,威胁者就可以开发零日漏洞。
零日漏洞通常伪装成恶意软件或漏洞;在实施安全措施以识别和阻止其进展之前,它们的部署可能会对组织造成破坏。
预防零日攻击
系统开发人员和用户经常不知道零日漏洞,除非有人报告或发现零日漏洞是攻击的直接后果。传统的反恶意软件解决方案并不总能检测到零日漏洞,但采用网络安全人工智能技术的解决方案甚至可以有效阻止从未见过的零日攻击。其他积极主动的最佳实践可以防止零日漏洞被利用。
常规补丁管理
频繁扫描硬件和软件资产是发现新发布的安全补丁的关键。由于每个端点都容易受到零日漏洞的攻击,因此自动执行补丁周期,与公开共享的常见漏洞暴露(CVE)或供应商部署的修复程序保持一致,有助于企业优先应对已知和未知漏洞。
基于人工智能的恶意软件检测
事实证明,打击零日威胁的传统签名方法越来越无效。识别威胁或等待用户通知,然后开发签名来识别和抵御威胁的速度太慢,使组织容易受到攻击。不过,利用网络安全人工智能的解决方案可以快速分析数百万个数据集,根据恶意软件的行为对其进行检测。
我们的 XDR 托管解决方案 CylanceGUARD®完全有能力减轻零日漏洞带来的风险,并保护客户的系统不被利用。我们以人工智能为驱动的网络安全方法将预防放在首位,可消除恶意软件并提高您的网络复原力。
