零日脆弱性與漏洞
軟體的脆弱性可以透過幾種不同的方式來發現。 在某些情況下,脆弱性是由軟體製造商內部發現的,或者是由外部安全研究人員以道德方式向他們報告的。 在其他情況下,脆弱性會被網路犯罪分子發現和利用。
大多數零時差攻擊都屬於第二類。 在這種情況下,在脆弱性首次被公開利用和有針對性的防禦(以惡意軟體簽名或軟體更新的形式)被發布之間存在一個視窗。 這被稱為“零日”,零日脆弱性和漏洞利用由此得名。
零日漏洞範例
一些零日脆弱性的一個例子是 Microsoft Exchange 伺服器中的一組脆弱性。 雖然微軟最初發現了這些脆弱性,但緩慢的修補週期意味著當網路犯罪分子開始利用這些脆弱性時,許多 Exchange 伺服器仍然容易受到攻擊。
鉿是利用這些交換脆弱性的惡意軟體的一個例子。 它利用這些脆弱性來存取易受攻擊的 Exchange 伺服器並提升其在系統上的權限。 該惡意軟體旨在執行資訊收集,試圖從被利用的系統中竊取使用者憑證和電子郵件。
零日漏洞的安全挑戰
零日脆弱性和漏洞是網路安全人員非常關心的問題,因為它們很難防禦。 零日漏洞利用的一些安全挑戰包括:
- 缺乏簽章:許多網路安全解決方案(例如某些入侵防禦系統(IPS))依賴簽章來識別和阻止惡意軟體和其他攻擊。 對於零日漏洞,網路安全研究人員還沒有機會開發和發布該漏洞的簽名,這意味著這些解決方案對此視而不見。
- 修補程式開發緩慢:對於零日漏洞,修補程式開發過程在脆弱性公開時開始(即,當在野外偵測到利用它的攻擊時)。 脆弱性公開後,軟體製造商需要了解脆弱性並開發、測試和發布補丁,然後才能將其應用於易受攻擊的系統。 在此過程中,任何未受保護的裝置都容易受到脆弱性的利用。
- 補丁部署緩慢:即使創建了補丁,公司也需要時間才能將其應用於易受攻擊的軟體。 這就是為什麼即使 Microsoft 提供了補丁,鉿惡意軟體仍然能夠感染裝置。
由於這些原因,基於簽章和修補的反應式網路安全方法對於零日脆弱性和漏洞利用並不有效。 組織必須主動預防攻擊,以阻止這些新的漏洞。
如何防範零日漏洞
對於零時差攻擊,組織面臨的主要問題是缺乏資訊。 如果安全團隊掌握有關特定威脅的信息,則可以配置安全解決方案來阻止該威脅。 然而,獲取這些資訊並透過組織的安全架構傳播它對許多組織來說是一個重大挑戰。
有效的零時差保護需要具有以下功能的安全架構:
- 整合:許多組織依賴分散的單點安全解決方案集合,這些解決方案難以操作和維護。 安全整合可確保一旦發現零時差威脅,組織的整個安全架構就能以協調的方式識別並回應。
- 威脅防護引擎:威脅防護引擎是專門的偵測解決方案,旨在識別常見的惡意軟體功能和攻擊技術。 例如,威脅防護引擎可以執行中央處理器檢查以偵測返回導向程式設計(ROP)或尋找已知惡意軟體重複使用的程式碼。
- 威脅情報:資訊對於打擊零時差攻擊至關重要。 存取高品質威脅情報資源使組織能夠學習他人的經驗,並在零日威脅成為攻擊目標之前發現它們。
Check Point 的預防優先方法是有效防範零日漏洞等未知威脅的唯一方法。 ThreatCloud人工智慧是全球最大的網路威脅情報資料庫,平均每天處理860億筆交易。 這使得它每天能夠識別大約 7,000 個以前未知的威脅,使組織能夠檢測並阻止針對其係統的這些零日攻擊。
ThreatCloud人工智能利用人工智慧(人工智能)來處理資料並偵測威脅。 若要詳細了解人工智慧對於零日漏洞偵測的重要性,請查看此白皮書。 也歡迎您報名參加示範,了解 Check Point 的進階端點防護解決方案如何保護您組織的遠端員工免受零時差威脅。
反映意見