譯者 | 陳峻
零日攻擊(zero-day attack)一詞通常是指利用計算機系統或軟件應用中的未知漏洞,實施網絡攻擊的行為。由于新發現的漏洞無法被提前知曉,所以存在此類問題的系統或應用,無法通過事先修補的方式,去預防攻擊,因此被稱為“零日”。而且,正是因為其難以預測和防御,所以該類型的攻擊具有極強的危險性和破壞性。
零日防護的基本措施
通常,我們可以采取如下一些基本措施來防止零日攻擊:
- 安裝最新的安全補丁,使得所有軟件和系統都保持最新:這是非常重要的,畢竟軟件供應商會經常發布各種補丁,以修復新近發現的漏洞。可見,通過讓系統和軟件保持最新,我們可以從根本上降低被零日攻擊利用的風險。
- 使用防病毒軟件:防病毒軟件可以協助用戶檢測和阻止已知的惡意軟件,并有針對性地防范那些使用惡意軟件,去利用系統漏洞的零日攻擊。
- 使用防火墻:防火墻是一種網絡層面上的安全系統。它能夠根據預先確定的安全監控規則,控制傳入和傳出的網絡流量。它可以協助用戶阻止未經授權的訪問,以及以此為攻擊手段的零日攻擊。
- 使用雙因素身份驗證(two-factor authentication,2FA):2FA通過要求除了密碼之外,提供額外的信息(例如:發送到手機上的驗證碼),從而為您的帳戶增加一層額外的安全保護。顯然,即使在您的密碼被泄露的情況下,它仍然可以防止未經授權者訪問您的帳戶。
- 啟用瀏覽器的安全功能:如今,各種Web瀏覽器都在不同程度上內置了安全功能,例如:惡意軟件保護、網絡釣魚保護、以及Cookie管理等,可協助抵御不同程度的零日攻擊。因此,請確保在您的瀏覽器設置中啟用此類功能。
- 謹慎打開電子郵件和鏈接:零日攻擊通常會使用網絡釣魚策略,來誘騙用戶點擊惡意鏈接,或是下載惡意軟件。為此,我們需要警惕來源不明的電子郵件和鏈接,避免點擊可疑的郵件鏈接或下載里面的附件。
零日攻擊的高級防御措施
為了確保敏感信息得到合理的保護,正常的操作不會被中斷,我們除了具備上文介紹的基本知識以外,還需要通過各種高級安全措施和實踐(例如:補丁管理、事件響應和零信任安全等),來減少零日攻擊的可能性,或者是在確實被入侵的情況下,盡量減少由其帶來的潛在影響。
實施補丁管理
補丁管理是一個持續的過程。它涉及到識別軟件更新或補丁,確定其優先級,并通過安裝補丁來解決計算機系統和應用的已知漏洞。通過實施強大的補丁管理流程,組織可以通過確保所有系統和應用都能夠得到最新的補丁保護。下面,我們來具體看看補丁管理是如何防范零日攻擊的:
- 識別漏洞:補丁管理首先需要識別組織所使用的系統和應用中有哪些已知的漏洞。我們可以通過定期掃描和評估的方式,以及通過監控服務提供商的官網、以及其他安全信息提供來源,以獲取有關新發現的漏洞信息來實現。
- 確定補丁的優先級:一旦發現新的漏洞,補丁管理系統就需要根據補丁的潛在影響、被利用的可能性,來確定應該首先安裝哪些補丁。這將有助于組織集中有限的精力,優先處置那些最關鍵的漏洞。
- 安裝補丁:一旦確定了補丁的優先級,補丁管理系統就應當在所有適用的系統和應用上安裝對應的補丁。整個過程既可以是手動完成,也可以使用自動化的工具和流程來實現,具體則取決于組織內IT環境的規模和復雜性。
- 測試和驗證:補丁安裝完畢后,補丁管理系統需要測試和驗證補丁是否已被正確地安裝,并能按照預期運行。這有助于確保補丁能夠真實、有效地修補它們所針對的漏洞。
使用windows Defender漏洞防護
Windows Defender Exploit Guard是Windows操作系統的一項安全功能,能夠有助于抵御零日攻擊、以及其他類型的網絡威脅。它包含了一組功能和控件,可防范、檢測和響應針對Windows系統的嘗試與利用。Windows Defender Exploit Guard的主要功能包括:
- 減少攻擊面(Attack Surface Reduction,ASR):此功能有助于通過阻止常見的利用Windows漏洞的技術(例如:內存操作和權限升級等),來減少暴露的攻擊面。同時,它還可以控制哪些應用或進程可以訪問某些系統資源,例如:具體哪個App可以在使用中訪問網絡和文件系統。
- 受控的文件夾訪問:此功能通過阻止可疑的惡意進程,去訪問某些文件夾或文件,進而保護敏感數據,免遭未經授權的讀取或修改。此外,它還允許用戶通過列表的形式,自定義哪些受信任應用和進程可以訪問哪些文件夾。
- 網絡保護:此功能通過阻止各種可疑的網絡活動和連接,來防止基于網絡的攻擊。通過要求對所有網絡流量進行身份驗證,它從網絡層面上,防止了攻擊者對于某些資源的未經授權的訪問。
- 漏洞利用保護:此功能通過對某些程序應用事先定義好一組緩解措施,以及時“彌補”軟件和應用中新被發現的漏洞。當然,我們也可以對其進行定制,以將特定的緩解措施,應用于特定的程序或流程中。
總體而言,Windows Defender Exploit Guard是一款強大的工具,可幫助我們抵御Windows系統所面臨的零日攻擊、以及其他類型的網絡威脅。因此,保持此功能處于啟用狀態,并保持其持續更新是非常重要的。它在某種程度上起到了系統“守門員”的作用。
零信任和XDR
零信任安全和XDR(可拓展威脅檢測與響應,Extended Detection and Response)可以通過提供更為全面和主動的安全方法,來阻止零日攻擊。
零信任安全模型假定:無論來自何處,所有網絡流量都應當被視為不受信任的。這就意味著在允許被訪問敏感信息或系統之前,所有流量都需要經過仔細的審查,以防止攻擊者利用認證與授權上的漏洞,去訪問目標網絡。
而XDR集成了來自多種安全技術和來源的數據,可提供更全面的組織安全態勢視圖。這使得安全團隊能夠更快、更有效地檢測和響應新出現的威脅、以及零日攻擊形式。此外,XDR還可以幫助組織識別其現有環境中的潛在漏洞和風險,進而前攝性地防止零日攻擊的發生。
利用下一代防病毒
下一代防病毒(Next-Generation Antivirus,NGAV)是一種防病毒軟件,它使用先進的技術和處理能力,來提供針對惡意軟件、以及其他安全威脅的更有效的保護。
與主要依靠簽名檢測來識別已知威脅的傳統防病毒軟件不同,NGAV會使用多種方法,來檢測和阻止惡意軟件。例如,它會用到基于行為的檢測、機器學習、以及啟發式方法。這些都使得NGAV能夠針對更廣泛的威脅(包括零日攻擊、以及其他新出現的威脅)提供更全面、更有效的保護。
準備好事件響應計劃
國外著名安全意識培訓機構SANS曾提出了經典的事件響應六大階段。它是一個可用于組織和協調安全事件響應的框架,我們可以用來應對由零日攻擊給組織造成的安全事件。它每個階段的具體內容包括:
1. 準備:此階段主要是制定待實施的安全事件響應計劃,包括:建立角色和職責,定義流程,以及指定適當的工具和資源。
2. 識別:此階段主要是檢測和識別正在發生的安全事件。我們可以通過諸如:監控網絡流量,分析日志,以及響應來自安全工具與設備的警報等多種方式來實現。
3. 遏制:一旦確認了安全事件,下一步就應該通過遏制,以防止其傳播或造成進一步的損害。此階段主要涉及到:斷開受影響的系統與網絡連接,關閉服務,或實施其他快速措施,來及時限制事件的影響。
4. 根除:該階段需要消除安全事件的根本原因。此處包括:刪除惡意軟件,修補暴露的漏洞,以及采取根本原因分析法(RCA),來挖掘事件背后的原因。
5. 恢復:阻止了事件惡化后,我們在此階段就需要恢復所有受影響的系統或數據。其中包括:恢復備份,重建系統,或通過實施多部門協作,讓組織盡快恢復到正常運行的狀態。
6. 經驗教訓:最后、也是最重要的是審查我們在事件響應過程中,需要改進的地方。該階段主要包括:開展事后審查,分析數據和日志,以及按需實施調整與更改,以防止類似事件的再次發生。
通過遵循上述六個階段,組織可以更快、更有效地響應各類安全事件,以避免事件的蔓延,或造成進一步的損害。值得一提的是,從事件響應過程中吸取的教訓,可以幫助組織識別和整改其現有環境中的各類漏洞或弱點,進而防范可能出現的零日攻擊。
小結
綜上所述,由于零日攻擊利用的是未知的漏洞,獲取的是敏感的信息,甚至會造成運營的中斷,因此它對于組織和個人所構成的威脅是相當嚴重的。正因為如此,防范此類攻擊對于現有的大型系統、以及個人終端都是至關重要的。
在上文中,我們介紹了針對零日攻擊的基本與高級防御措施,其中深入討論了實施補丁管理、使用Windows Defender、零信任、XDR、NGAV、以及事件響應計劃。希望這些有助于貴企業更好地免受零日攻擊,并能保持業務的持續穩定運營。
譯者介紹
陳峻 (Julian Chen),51CTO社區編輯,具有十多年的IT項目實施經驗,善于對內外部資源與風險實施管控,專注傳播網絡與信息安全知識與經驗。
原文標題:Preventing Zero Day Attacks: Advanced Best Practices,作者:Gilad David Maayan
