零日攻击
本文约需 2 分钟阅读
零日攻击 (Zero-Day Attack) 是指在软件漏洞被发现之后、修复补丁发布之前的这段时间内,利用该漏洞发动的攻击。由于开发者从认知到漏洞到采取对策之间的缓冲期为「 0 天」,因此得名。由于没有已知的特征签名,传统安全软件难以检测。 2024 年 Google 的 Threat Analysis Group 确认全年发生了 97 起零日漏洞的利用,较上一年呈增长趋势。
现场使用案例
“我们正在使用的 VPN 设备被公布存在零日漏洞,据说提供补丁需要 48 小时。作为临时对策,我们加强了对相关端口的访问限制,并在 IPS 中添加了自定义规则以检测攻击模式。”
零日攻击的时间线
发现漏洞
攻击者开始利用
开发者认知到
开发并发布补丁
用户应用补丁
历史背景
零日攻击受到国际关注是在 2010 年的 Stuxnet。这款据称由美国和以色列开发的恶意软件,利用 4 个零日漏洞破坏了伊朗核设施的离心机。这是零日漏洞作为网络武器被使用的首个公开已知案例。 2021 年的 Log4Shell (Log4j 漏洞) 在公开后数小时内即被全球攻击者利用,凸显了应用补丁的紧迫性。零日漏洞的市场价值很高,据称 iOS 的远程代码执行漏洞在中介市场上以数百万美元成交。
零日攻击的特征
零日漏洞在暗网上以高价交易,也被用于国家级别的网络攻击。攻击者即使发现了漏洞也不公开,可能在长时间内秘密加以利用。零日攻击相关书籍 (Amazon)可用于学习相关案例与对策。
防御的思路
一种常见的误解是「零日攻击无法防范,所以采取对策也没用」。虽然完全防范很困难,但通过多层防御可以将损害降到最低。为每项服务设置独特的强密码,并启用两步验证,即使漏洞被利用也能防止账户被劫持。请启用软件自动更新,并在补丁发布后尽快应用。威胁情报相关书籍 (Amazon)也很有参考价值。
这篇文章对您有帮助吗?