在这个IT时代,大多数网络空间都容易受到不同类型的攻击。
零日漏洞利用是一种网络安全攻击,它在制造商检测到软件,硬件或固件缺陷的同一天发生。由于自从上次利用安全漏洞以来已经为零天,因此该攻击被称为零天漏洞或零天攻击。这种网络攻击被认为是危险的,因为开发人员没有机会修复该缺陷。零时差攻击通常针对大型组织,政府部门,固件,硬件设备,IoT,可访问有价值的业务数据的用户等。
零日漏洞利用的工作:
在不知道存在安全漏洞这一事实的情况下开发和发布软件。在开发人员识别或修复此漏洞之前,攻击者会先识别或利用此漏洞。尽管该漏洞是开放且未修复的,但利用这种情况,黑客会释放恶意软件来攻击该软件。攻击者攻击目标之后,公众或开发人员会识别攻击并尝试找出补丁。开发人员可以识别此修补程序并发布更新以保护其新用户。
零日漏洞检测:
检测零日攻击的可能性很少,换句话说,攻击没有机会被检测到。但是,很少有方法可以识别现有的已知漏洞。
- 基于签名–
通过这种方法,可以借助模式匹配来检测已知漏洞的发生模式。即使此方法无法检测到用于零时差攻击的恶意软件代码,它仍能够检测到可能导致零时差漏洞的已知攻击(例如SQL注入)。尽管开发人员可能无法检测到零日攻击,但系统防火墙可能能够检测并防御几种已知的特定攻击类型,例如XSS,SQL注入等。 - 统计技术–
通过监视正常活动,此技术可以了解网络的正常行为。当系统识别出与正常配置文件有任何偏差时,它将检测到出现漏洞的可能性。 - 基于行为–
基于行为的检测的实现通常取决于“蜜罐”。蜜罐是一种安全机制,旨在检测黑客或黑客攻击的存在。 - 混合技术–
这种混合技术利用了统计,行为和基于传统签名的防御机制的优势。它们相对更有效,因为任何单一检测技术的弱点都不会破坏安全性。
零日漏洞利用防护:
由于零日漏洞很难被发现,因此防止零日漏洞变得困难。几乎没有任何方法可以防止零日攻击,因为我们对提前零日漏洞的发生尚无任何了解。
我们可以采用以下任何一种策略来降低风险水平:
- IP安全协议(IPSec)的实现。
- 虚拟局域网的使用。
- 部署入侵检测系统(IDS)或入侵防御系统(IPS)。
- 网络访问控制协议的用法。
- 使用安全方案,例如Wi-Fi保护访问2。
- 使所有系统保持最新状态。
- 执行定期漏洞扫描。
零日漏洞利用的示例案例:
- CVE-2016-4117 –
这项零日攻击利用了Adobe Flash Player中以前未发现的漏洞之一。 - CVE-2016-0167 –
这是针对win32k Windows图形子系统Microsoft Windows的特权攻击的提升。 - CVE-2017-0199 –
此零日攻击利用了Microsoft Office RTF文档中以前未公开的漏洞之一。 - Stuxnet蠕虫–
这种零日漏洞利用,针对性的监督控制和数据采集(SCADA)系统。