什麼是零日漏洞利用?

zero-day 漏洞利用是一種利用幾乎未知的安全漏洞的攻擊。

學習目標

閱讀本文後,您將能夠:

  • 定義「漏洞」並描述 zero-day 漏洞
  • 解釋什麼是 zero-day 漏洞利用
  • 描述防止 zero-day 攻擊的主要方法

相關內容


想要繼續瞭解嗎?

訂閱 TheNET,這是 Cloudflare 每月對網際網路上最流行見解的總結!

請參閱 Cloudflare 的隱私權政策,了解我們如何收集和處理您的個人資料。

複製文章連結

什麼是零日漏洞利用?

zero-day 漏洞(也稱為 zero-day 威脅)是一種利用沒有修復方案的安全性漏洞的攻擊。它被稱為「zero-day」威脅,因為一旦最終發現漏洞,開發人員或組織只有「零天」來找出解決方案。

什麼是漏洞?

漏洞是源於程式設計錯誤或不當設定的意外軟體或硬體缺陷。由於漏洞是無意的,因此它們很難被發現,並且可能幾天、幾個月甚至幾年都不會被注意到。

zero-day 漏洞利用是如何運作的?

當攻擊者發現一個以前未知的漏洞時,他們會針對該特定漏洞編寫代碼,並將其打包到惡意程式碼中。這些代碼一旦被執行,就會入侵系統。

攻擊者有各種方法來利用 zero-day 漏洞。一種常見的策略是透過網路釣魚電子郵件來傳播惡意程式碼,這些郵件中包含嵌入了漏洞利用的附件或連結。當使用者下載附件或點擊連結時,就會執行這些惡意負載

2014 年,Sony Pictures Entertainment 發生了一次著名的 zero-day 攻擊,當時敏感性資訊(例如未發行電影的複本、高級員工之間的電子郵件通訊以及商業計畫)被公開。攻擊者利用 zero-day 漏洞來獲取這些資訊。

zero-day 漏洞利用會以多種方式對企業產生不利影響。除了丟失有價值的或機密資料外,客戶還可能對企業失去信任,以及企業可能不得不轉移寶貴的工程資源來修補漏洞。

如何偵測 zero-day 威脅

根據定義,zero-day 威脅很難被發現。已經開發了幾種策略來幫助簡化偵測:

  • 基於統計的偵測:使用機器學習,從以前的漏洞利用中收集歷史資料,並設定標準的安全行為層級來即時偵測 zero-day威脅。但是,該方法不適應模式中的變化,需要構建新的攻擊設定檔來應對變化。
  • 基於簽章的偵測:這種方法從安全監控的早期就開始使用。當掃描新的潛在威脅時,會將現有的惡意程式碼簽章(表示存在惡意代碼的獨特值)交叉引用到本地檔案和下載。這種方法的一個缺點是簽章只能識別已知的威脅,因此這種方法無法偵測到大多數 zero-day 威脅。
  • 基於行為的偵測:分析使用者與現有軟體的互動以查看它們是否是惡意活動的結果。基於行為的偵測旨在瞭解未來的行為並嘗試封鎖任何非預期行為。它依賴於預測網路流量流程。

如何預防 zero-day 攻擊

雖然沒有一種方法能夠完全防止代碼中出現漏洞,但有幾種策略和工具可以將其風險降到最低。阻止漏洞利用的兩個最重要的技術是瀏覽器隔離防火牆

瀏覽器隔離

開啟電子郵件附件或填寫表格之類的瀏覽活動需要與來自不受信任來源的代碼進行互動,從而允許攻擊者利用漏洞。瀏覽器隔離使瀏覽活動與終端使用者裝置和公司網路分開,因此潛在的惡意代碼不會在使用者裝置上执行。瀏覽器隔離可以透過三種方式完成:

  • 遠端瀏覽器隔離:在遠離使用者裝置和組織內部網路的雲端伺服器中載入網頁和執行代碼。
  • 內部部署瀏覽器隔離:這與遠端瀏覽器隔離類似,但它發生在內部管理的伺服器上。
  • 用戶端瀏覽器隔離:網頁仍然在使用者的裝置上載入,但採用沙箱(一種保持程式單獨執行的安全機制)來確保內容和代碼與裝置的其餘部分分開。

防火牆

防火牆是一種基於預設安全原則監控傳入和傳出流量的安全系統。防火牆位於受信任網路和不受信任網路(通常是網際網路)之間,以防禦威脅,阻止惡意內容到達受信任的網路,並防止敏感性資訊離開網路。它們可以內建在硬體、軟體或兩者的組合中。透過監控流量,防火牆能夠封鎖可能針對安全性漏洞從而導致 zero-day 漏洞利用的流量。

Cloudflare 如何防範 zero-day 漏洞?

遠端瀏覽器隔離:Cloudflare 的遠端瀏覽器隔離解決方案透過沙箱在受監督的雲端環境中執行使用者的瀏覽活動。由於瀏覽活動與使用者的終端裝置隔離,這些裝置會受到保護,免受 zero-day 威脅等漏洞的影響。

Web 應用程式防火牆 (WAF):Cloudflare WAF 有助於保護 Web 應用程式免受惡意 HTTP 流量的影響。由於難以偵測到 zero-day 威脅且安全形勢不斷變化,受管理規則集有助於防範這些漏洞。Cloudflare 會定期更新受管理規則集以提供持續保護。