什麼是零日攻擊?
零時差攻擊是利用最近發現的脆弱性進行的攻擊,但目前還沒有可用的補丁。通過在「零日」進行攻擊,網絡犯罪分子會降低組織能夠適當地檢測和回應的可能性。
許多組織的安全模型基於偵測,這需要能夠識別攻擊為惡意。 由於零日攻擊中使用了新穎的漏洞,基於簽名偵測的安全性完全無效,因為尚未開發所需的簽名。
因此,管理零日攻擊的風險需要預防,而不僅僅是偵測。
How to Prevent Zero Day Attacks
防止零日攻擊是一個多階段的過程。 組織需要識別潛在活動所需的威脅情報、根據此情報採取行動的工具以及支援快速、協調的威脅回應的統一平台。
- Threat Intelligence Platforms
現代網絡攻擊廣泛且自動化。 零時差攻擊將針對許多不同的組織,利用脆弱性發現和補丁發布之間的狹窄視窗。
防範此類大規模攻擊需要取得高品質的威脅情報。當某個組織遭受攻擊時,其收集的資料對於嘗試偵測和阻止攻擊的其他組織來說是寶貴的。 然而,現代攻擊活動的速度和數量使得手動威脅情報共享速度太慢而無法有效。
Check Point 的 ThreatCloud 人工智能是全球最大的網路威脅情報資料庫。ThreatCloud AI 利用人工智慧 (AI) 將提供給它的資料提煉成有關潛在攻擊和未知脆弱性的有價值的見解。對來自 100,000 多個 Check Point 客戶的超過 860 億筆日常交易進行分析,提供識別零時差攻擊活動所需的可見度。
威脅情資提供有效檢測零日攻擊所需的資訊。防範需要能夠將這些情資轉化為防止攻擊成功行動的解決方案。
Check Point 開發了六十多個威脅防護引擎,利用 ThreatCloud 人工智慧的威脅情資進行零日防護。一些關鍵的威脅防護能力包括:
- 中央處理器等級檢查:網路攻擊者通常使用面向返回的程式設計(ROP)來繞過中央處理器內建的防禦。中央處理器層級檢查可識別克服可執行空間保護和程式碼簽章的嘗試,在惡意程式碼下載和執行之前阻止攻擊。
- 威脅模擬與擷取:分析沙盒環境中的可疑內容有助於在惡意軟體傳送到目標系統之前偵測到該惡意軟體。這樣可以在交付之前阻止惡意軟體或從文件中刪除惡意內容。
- 惡意軟體 DNA 分析:惡意軟體作者通常基於、借用和調整現有程式碼來開發新的攻擊活動。這意味著新的漏洞通常包括先前活動的行為和程式碼,可用於偵測攻擊的最新變化。
- 反機器人和反惡意利用:現代網絡攻擊通常非常依賴受入侵的機器作為殭屍網絡的一部分。 在識別出受感染的電腦後,組織可以將其隔離並阻止與機器人相關的流量,以阻止惡意軟體的傳播。
- 活動狩獵:惡意軟體依賴攻擊者的後端基礎設施來進行命令和控制。透過威脅模擬和提取,Check Point 可以識別惡意軟體使用的新命令和控制域,並利用此資訊來偵測攻擊活動的其他執行個體。
- ID Guard:隨著軟體即服務 (SaaS) 應用程式的使用不斷增加,帳戶接管攻擊變得越來越普遍。即使攻擊者擁有正確的認證,行為分析和異常偵測也可以識別並阻止嘗試攻擊。
許多組織都仰賴各種獨立且互不相關的安全解決方案。雖然這些解決方案可能可以有效地防範特定威脅,但它們會因為數據過多並迫使組織安全團隊設定、管控和管理許多不同的解決方案而降低組織安全團隊的效率。因此,過勞的安全人員將有可能忽略關鍵警報。
統一的安全平台對於防止零日攻擊至關重要。 單一解決方案能夠在整個組織的 IT 生態系統中具有可見性和控制能力,具有識別分散式網路攻擊所需的前後關聯和洞察力。 此外,能夠在組織整個基礎架構中執行協調的自動回應對是防止快節奏的零日攻擊活動至關重要。
反映意見