零日漏洞利用是一种网络攻击手段或技术,能够利用计算机软件、硬件或固件中未知或未解决的安全漏洞。“零日”是指软件或设备供应商有零日或没有时间来修复漏洞,因为恶意行为者已经可以使用这个漏洞来访问易受攻击的系统。
未知或未解决的漏洞称为零日漏洞或零日威胁。零日攻击是指恶意行为者使用零日漏洞植入恶意软件、窃取数据或以其他方式对用户、组织或系统造成损害。
有一个类似但不同的概念,即零日恶意软件,是一种病毒或其他形式的恶意软件,其签名未知或尚不可用,因此许多杀毒软件解决方案或其他基于签名的威胁检测技术无法检测到此类软件。
自 1988 年以来,IBM 的 X-Force Threat Intelligence 团队已经记录了 7,327 个零日漏洞。虽然这仅占所有记录在案的安全漏洞的 3%,但零日漏洞(尤其是那些广泛使用的操作系统或计算设备中的漏洞)是最严重的安全风险之一,因为此类漏洞会使大量用户或整个组织容易受到网络犯罪的攻击,直到供应商或网络安全社区发现问题并发布解决方案。
操作系统、应用程序或设备的某个版本从发布的那一刻起就存在零日漏洞,但软件供应商或硬件制造商并不知道。相关漏洞可能会隐藏数天、数月或数年,直到有人发现为止。
理想的情况下,安全研究人员或软件开发人员能在威胁参与者之前发现漏洞。然而,有时黑客会抢先一步发现漏洞。
无论是谁先发现,很快这个漏洞就会变得众所周知。供应商和安全专业人士通常会告知客户,以便其采取预防措施。黑客之间可能会互相传播威胁,研究人员可能会通过观察网络罪犯的活动来了解威胁。一些供应商可能会在开发软件更新或其他修复程序之前对漏洞保密,但这可能是一场赌博 – 如果黑客在供应商修复之前发现漏洞,组织可能会措手不及。
发现任何的新零日漏洞都将引发竞赛,其中一方是致力于修复漏洞的安全专业人士,另一方则是开发利用漏洞入侵系统的零日漏洞的黑客。一旦黑客成功开发出可用的零日漏洞,他们就会加以利用来发起网络攻击。
黑客开发漏洞的速度通常会比安全团队开发补丁的速度更快。据一项估计(ibm.com 外部链接)显示,零日攻击通常会在漏洞披露后的 14 天内出现。但是,一旦开始零日攻击,补丁通常会在短短几天内紧随其后。这是因为供应商可以利用攻击中的信息来明确他们需要修复的缺陷。因此,虽然零日漏洞可能很危险,但黑客通常无法长期利用。
Stuxnet 是一种复杂的计算机蠕虫,利用了 Microsoft Windows 操作系统中的四种不同的零日软件漏洞。2010 年,Stuxnet 被用于针对伊朗核设施的一系列攻击。蠕虫入侵核电厂的计算机系统后,向用于浓缩铀的离心机发送了恶意命令。这些命令导致离心机旋转速过快,以至崩溃。Stuxnet 总共损坏了 1,000 台离心机。
研究人员认为,美国和以色列政府共同构建了 Stuxnet,但这尚未得到证实。
Log4Shell 是 Log4J 中的零日漏洞,Log4J 是用于记录错误消息的开源 Java 库。黑客可以利用 Log4Shell 漏洞远程控制几乎任何运行 Java 应用程序的设备。由于 Log4J 用于 Apple iCloud 和 Minecraft 等热门程序,因此数亿台设备也处在了危险之中。MITRE 的常见漏洞披露 (CVE) 数据库给 Log4Shell 了最高的风险评分,即 10 分,满分 10 分。
Log4Shell 漏洞自 2013 年以来一直存在,但黑客直到 2021 年才开始利用。此漏洞被发现之后不久就已得到修复,但安全研究人员在高峰期每分钟检测到超过 100 次 Log4Shell 攻击。(ibm.com 外部链接)。
2022 年初,朝鲜黑客利用 Chrome 中一个零日远程代码执行漏洞。黑客使用网络钓鱼电子邮件将受害者引导至伪造网站,这些网站利用 Chrome 漏洞在受害者的机器上安装间谍软件和远程访问恶意软件。漏洞在曝光后已得到修复,但黑客很好地掩盖了自己的踪迹,研究人员也不确定究竟有哪些数据被盗。
零日攻击是最难应对的网络威胁之一。黑客可以在目标发现零日漏洞之前利用这些漏洞,让威胁参与者能够在不被察觉的情况下潜入网络。
即使漏洞已众所周知,软件提供商也可能需要一段时间才能发布补丁,在此期间,组织依然可能面临风险。
近年来,黑客对零日漏洞的利用愈发频繁。2022 年的一份 Mandiant 报告发现,仅在 2021 年,遭到利用的零日漏洞就比 2018-2020 年的总和还要多(ibm.com 外部链接)。
零日攻击的增加可能与公司网络的复杂程度增加有关。如今,组织依赖于云和本地部署应用程序的组合、公司拥有和员工拥有的设备以及物联网 (IoT) 和运营技术 (OT) 设备。所有这些都扩大了组织的攻击面,零日漏洞可能会潜伏在其中任何地方。
由于零日漏洞为黑客提供了宝贵的攻击机会,现在,网络罪犯会在黑市上交易零日漏洞和零日漏洞,以换取丰厚的报酬。例如,在 2020 年,黑客以高达 500,000 美元的价格(ibm.com 外部链接)出售 Zoom 零日漏洞。
众所周知,国家/地区级的参与者也会寻找零日漏洞。许多参与者选择不透露他们发现的零日漏洞,而是倾向于制作自己的秘密零日漏洞来对抗对手。很多供应商和安全研究人员都在批判这种做法,认为这会让不知情的组织面临风险。
安全团队在面对零日漏洞时常常处于劣势。由于这些缺陷未知且未修补,组织无法在网络安全风险管理或漏洞缓解工作中加以考虑。
然而,公司可以采取一些措施来发现更多漏洞并减轻零日攻击的影响。
补丁管理:供应商得知零日漏洞后立即急于发布安全补丁,但许多组织未能及时应用这些补丁。正式的补丁管理计划可以帮助安全团队掌握这些重要补丁。
漏洞管理:深入的漏洞评估和渗透测试可以帮助公司先黑客一步发现其系统中的零日漏洞。
攻击面管理 (ASM):ASM 工具可支持安全团队识别其网络中的所有资产并检查当中是否存在漏洞。ASM 工具从黑客的角度评估网络,重点关注威胁参与者如何利用资产来获取访问权限。由于 ASM 工具可帮助组织通过攻击者的眼睛查看其网络,因此这些工具也可以帮助发现零日漏洞。
威胁情报订阅源:安全研究人员通常是最早发现零日漏洞的人。及时了解外部威胁情报的组织可能会更早得知新的零日漏洞。
基于异常的检测方法:零日恶意软件可以逃避基于签名的检测方法,但使用机器学习实时发现可疑活动的工具通常都可以捕获零日攻击。常见的基于异常的检测解决方案包括用户和实体行为分析 (UEBA)、扩展检测和响应 (XDR) 平台、端点检测和响应 (EDR) 工具以及一些入侵检测和入侵防御系统。
零信任架构:如果黑客利用零日漏洞入侵网络,零信任架构可以限制损害。零信任通过持续身份验证和最低权限访问来防止横向移动,并阻止恶意行为者访问敏感资源。
快速提高组织的网络防御能力。管理您的数字足迹的扩展,发现影子 IT,并通过基于敌对诱惑行为的相关事实调查结果快速帮助组织实现目标。
81% 的 SOC 专业人士表示,手动调查拖慢了他们的速度。1 利用 IBM Security QRadar® Suite 加速警报调查,该套件是安全技术的现代化选择,具有利用人工智能和自动化构建的统一分析师体验。
采用漏洞管理计划来识别漏洞修复、确定漏洞优先级并管理修复,增强攻击抵抗力,缩短修复时间并帮助保持合规。
1 全球安全运营中心研究结果 (PDF),由 Morning Consult 执行并受 IBM 委托,2023 年 3 月