0day/零日漏洞,一个独特的黑客文化……
这个词从来没有过权威解释,百度百科也仅仅是解释了它在网络安全方面的含义,并没有给出这个词的来由,以及文化出处。
摘录一点百度百科的资料:
零日漏洞
“零日漏洞”(zero-day)又叫零时差攻击,是指被发现后立即被恶意利用的安全漏洞。通俗地讲,即安全补丁与瑕疵曝光的同一日内,相关的恶意程序就出现。这种攻击往往具有很大的突发性与破坏性。
攻击威胁
虽然还没有出现大量的“零日漏洞”攻击,但其威胁日益增长,证据如下:
黑客更加善于在发现安全漏洞不久后利用它们。过去,安全漏洞被利用一般需要几个月时间。最近,发现与利用之间的时间间隔已经减少到了数天。
利用漏洞的攻击被设计为迅速传播,感染数量越来越多的系统。攻击由之前被动式的、传播缓慢的文件和宏病毒演化为利用几天或几小时传播的更加主动的、自我传播的电子邮件蠕虫和混合威胁。
人们掌握的安全漏洞知识越来越多,就有越来越多的漏洞被发现和利用。一般使用防火墙、入侵检测系统和防病毒软件来保护关键业务IT基础设施。这些系统提供了良好的第一级保护,但是尽管安全人员尽了最大的努力,他们仍不能免遭受零日漏洞攻击。
开源代码导致零日漏洞复现率倍增
网络安全风投公司曾发布过一份《零日漏洞报告》,为CISO和IT安全团队提供零日漏洞趋势、统计数据、最佳实践和资源。
报告凸显了一些预警性统计数据,包括:
? 应用攻击界面每年增加1110亿行软件代码
? 任务关键App中的开源代码将占99%
麦克·卡顿,Digital Defense 研发副总裁,称:“从安全角度看,开源代码的大量使用是有问题的。越来越多的公司不断投入开源代码怀抱,作为削减营销周期,尽快将产品推向市场的一种手段。”
由于一块代码可作为软件组件应用到多种设备中,这种组件中发现的零日漏洞复现率就可能倍增。你通常会在各种各样的设备和平台上发现一连串的漏洞。
推向市场的压力,催生了在企业产品中集成进更多库的新趋势,但这每一个库,都代表着潜在的漏洞风险。
数据泄密事件之所以急剧增长,零日漏洞起关键作用?
据韦里逊公司(Verizon)最近发布的《数据泄露调查报告》显示,真相实际上要比这有意思得多。
报告指出,依据韦里逊的数据样本,"没有哪一起得到证实的入侵事件利用了某个可以打上补丁的漏洞"。那么,坏人们又是在如何危及这些网络/服务器,导致数十万条的敏感记录泄露出去呢?其手段就是尽量简单,瞄准配置不安全的互联网应用程序,使用定制的恶意软件,或者基本上采取其余各种方法,但是侧重于发现和利用零日漏洞来达到目标,零日漏洞并不是关键性因素。
零日漏洞的防范
在这个安全体系环境之下,除了需要实时更新更种软件的补丁,修复漏洞,尽量缩短零日漏洞在系统和应用软件中的存在时间,降低数据所面临的风险,还有以下几方面工作应重点重视:
? 加强网络入侵防御系统建设
入侵防御系统本质上是入侵检测系统和防火墙的有机结合,对于网络入侵防御系统(NIPS)而言,在网络环境中的部署应当注意对攻击的防范,同时对于内部网络环境而言,加强数据传输特征的深入检查,力求能够及时返现局域网内部的攻击行为,在网络边界方面,NIPS工作的重点在于执行对于数据流的分析,从传输特征和协议两个方面展开对于传输请求的检查,必要的情况下对网络流量施加限制,便于检测出不正常的网络传输操作,以及Doss攻击。
除此之外,还应该加强对于数据签名的检查,考虑零日病毒完全可以在防毒系统创建出签名之前对网络实现攻击,因此只有不断优化签名监测时间,才能切实将确认攻击的时间缩短,提升网络安全性。与此同时,引入NIPS的重点之一,还在于该系统能够实现持续对于局域网内部环境交换和传输特征的侦测,从而发现可能存在而进入内网的攻击。
? 加强主机入侵防御系统建设
通常来说,主机入侵防御系统(HIPS)具有规则、监控以及拦截三方面的主要功能,一个妥善配置的HIPS,能够识别和记录用户行为,并且在无法判断的时候对用户做出询问,而后依据用户指令展开进一步的工作。
理论上,HIPS能够面向用户主机实现良好的防御,但是实际工作中,一方面HIPS需要自行展开对于软件系统和系统行为的判断,不能全部依赖于对于用户的询问;另一方面,用户本身可能会因为对计算机只是的缺乏,而对相关的询问请求实行误判,加之零日攻击会将攻击行为加以包装隐藏,表现成为合法的传输请求,混淆用户视听,因此这种判断实际上仍然存在不可靠之处,对于这一方面,唯有在HIPS的智能化方面加强建设,才能切实推动系统对零日攻击的抵御。
面向零日漏洞问题的网络安全斗争必然会是一个持续而漫长的过程,发现漏洞,并阻止恶意软件的产生,才是我们应该做的。
