什么是零日漏洞?

零日漏洞利用是一种利用几乎未知的安全漏洞的攻击。

学习目标

阅读本文后,您将能够:

  • 定义“漏洞”并描述零日漏洞
  • 解释什么是零日漏洞
  • 描述预防零日攻击的主要方法

相关内容


想要继续学习吗?

订阅 TheNET,这是 Cloudflare 每月对互联网上最流行见解的总结!

参阅 Cloudflare 的隐私政策,了解我们如何收集和处理您的个人数据。

复制文章链接

什么是零日漏洞?

零日漏洞(也称为零日威胁)是一种利用没有修复方案的安全漏洞的攻击。它被称为“零日”威胁,因为一旦最终发现漏洞,开发人员或组织只有“零日”来找出解决方案。

什么是漏洞?

漏洞是源于编程错误或不当配置的意外软件或硬件缺陷。由于漏洞是无意的,因此它们很难被发现,并且可能几天、几个月甚至几年都不会被注意到。

零日漏洞是如何运作的?

当攻击者发现一个以前未知的漏洞时,他们会针对该特定漏洞编写代码,并将其打包到恶意软件中。这些代码一旦被执行,就会入侵系统。

攻击者有各种方法来利用零日漏洞。一种常见的策略是通过网络钓鱼电子邮件来传播恶意软件,这些邮件中包含嵌入了漏洞利用的附件或链接。当用户下载附件或点击链接时,就会执行这些恶意负载

2014 年,索尼影视娱乐公司发生了一次著名的零日攻击,当时敏感信息(例如未发行电影的副本、高级员工之间的电子邮件通信以及商业计划)被公开。攻击者利用零日漏洞来获取这些信息。

零日漏洞利用会以多种方式对企业产生不利影响。除了丢失有价值的或机密数据外,客户还可能对企业失去信任,以及企业可能不得不转移宝贵的工程资源来修补漏洞。

如何检测零日威胁

根据定义,零日威胁很难被发现。已经开发了几种策略来帮助简化检测:

  • Statistics-based detection: Using machine learning, historical data is collected from previous exploits and a standard level for safe behavior is set to detect zero-day threats in real time. However, the approach does not adapt to changes in patterns, and new attack profiles need to be built out to account for changes.
  • 基于特征码的检测:这种方法从安全监控的早期就开始使用。当扫描新的潜在威胁时,会将现有的恶意软件特征码(表示存在恶意代码的独特值)交叉引用到本地文件和下载。这种方法的一个缺点是特征码只能识别已知的威胁,因此这种方法无法检测到大多数零日威胁。
  • 基于行为的检测:分析用户与现有软件的交互以查看它们是否是恶意活动的结果。基于行为的检测旨在了解未来的行为并尝试阻止任何非预期行为。它依赖于预测网络流量流程。

如何预防零日攻击

虽然没有一种方法能够完全防止代码中出现漏洞,但有几种策略和工具可以将其风险降到最低。阻止漏洞利用的两个最重要的技术是浏览器隔离防火墙

浏览器隔离

打开电子邮件附件或填写表格之类的浏览活动需要与来自不受信任来源的代码进行交互,从而允许攻击者利用漏洞。浏览器隔离使浏览活动与最终用户设备和公司网络分开,因此潜在的恶意代码不会在用户设备上运行。浏览器隔离可以通过三种方式完成:

  • 远程浏览器隔离:在远离用户设备和组织内部网络的云服务器中加载网页和执行代码。
  • 本地浏览器隔离:这与远程浏览器隔离类似,但它发生在内部管理的服务器上。
  • 客户端浏览器隔离:网页仍然在用户的设备上加载,但采用沙盒(一种保持程序单独运行的安全机制)来确保内容和代码与设备的其余部分分开。

防火墙

防火墙是一种基于预设安全政策监控传入和传出流量的安全系统。防火墙位于受信任网络和不受信任网络(通常是互联网)之间,以防御威胁,阻止恶意内容到达受信任的网络,并防止敏感信息离开网络。它们可以内置在硬件、软件或两者的组合中。通过监控流量,防火墙能够阻止可能针对安全漏洞从而导致零日漏洞利用的流量。

Cloudflare 如何防范零日漏洞?

远程浏览器隔离:Cloudflare 的远程浏览器隔离解决方案通过沙盒在受监督的云环境中执行用户的浏览活动。由于浏览活动与用户的终端设备隔离,这些设备会受到保护,免受零日威胁等漏洞的影响。

Web 应用程序防火墙 (WAF):Cloudflare WAF 有助于保护 Web 应用程序免受恶意 HTTP 流量的影响。由于难以检测到零日威胁且安全形势不断变化,托管规则集有助于防范这些漏洞。Cloudflare 会定期更新托管规则集以提供持续保护。