零日脆弱性與零日惡意軟體
零日脆弱性是指在軟體製造商有機會發布修補程式或廣泛部署修補程式之前就被廣泛利用的漏洞。與補丁管理相關的延遲留下了一個視窗(稱為“零日”),在該視窗中脆弱性可以在無法獲得適當防禦的組織中被利用。
零時差惡意軟體是利用這些零日脆弱性的惡意軟體。通常,漏洞開發人員可以比開發和部署相應修補程式的速度更快地發動針對脆弱性的攻擊。這意味著利用脆弱性的惡意軟體可以在組織遏制威脅之前廣泛傳播。
零時差惡意軟體範例
為了使零日惡意軟體存在,零日脆弱性也需要存在。不幸的是,這些類型的脆弱性非常常見。
最近的一個例子是 Microsoft Exchange 中的一組脆弱性,該公司於 2021 年 3 月修補了該漏洞。這些脆弱性可被利用來允許攻擊者在易受攻擊的系統上運行惡意程式碼 - 遠端程式碼執行 (RCE) 脆弱性 - 這使得它們非常適合零日惡意軟體。然而,儘管脆弱性具有重大的潛在影響,但修補速度卻很慢。
這導致創建了許多不同的利用脆弱性的零日惡意軟體變體。這些零時差惡意軟體變種之一稱為Hafnium 。Hafnium 是一種資訊竊取惡意軟體,它利用 Microsoft Exchange 漏洞來存取易受攻擊的 Exchange 伺服器。從那裡,它提高其權限,並使用產生的訪問權限來竊取電子郵件和用戶憑據。
為什麼傳統的網路安全策略對零時差惡意軟體無效
零時差惡意軟體是一個重大的網路安全挑戰,因為許多傳統的網路安全策略無法防範它。由於零時差惡意軟體是在發現特定脆弱性後不久發布的,並且在對它有很多了解或開發補丁之前,傳統的防禦措施可能很難檢測和防禦它。
一些網路安全策略是基於對相關漏洞或漏洞的了解,這顯然不適用於零時差威脅。因此,緩解這些威脅的某些方法無效,例如:
- 修補程式管理:減輕特定惡意軟體變體威脅的最佳方法是修補它所依賴的脆弱性。然而,對於零時差惡意軟體,修補程式不可用,因此無法將它們應用於易受攻擊的系統。
- 基於簽章的偵測:許多傳統的防毒和威脅偵測系統使用簽章來運作,簽章是惡意軟體變體的獨特指紋。對於零時差惡意軟體,網路安全研究人員沒有機會研究惡意軟體並開發和分發這些簽名。
- 漏洞利用偵測:除了惡意軟體之外,還可以使用簽章來偵測脆弱性漏洞。然而,與惡意軟體一樣,零日脆弱性缺乏其工作所需的簽名。
網絡安全始終是網絡防禦者和漏洞開發人員之間的競爭。 在零時差脆弱性和惡意軟體的情況下,如果組織依賴傳統的威脅管理方法,那麼漏洞開發人員將具有顯著的優勢。
如何防止零時差惡意軟體
傳統的網路安全策略對零時差惡意軟體無效,嚴重依賴偵測。但是,很難準確地檢測並對您不知道存在的威脅進行響應。
管理零日威脅的更好方法是使用預防措施。 Check Point 的預防優先方法是有效防範未知威脅的唯一方法,包含以下功能:
- 威脅情資: ThreatCloud是最大的網路威脅情資資料庫,每天使用人工智慧檢查860億筆交易。這使其能夠及早檢測到零時差惡意軟體活動,從而使組織能夠保護自己。
- 威脅防護引擎:雖然惡意軟體變體可能存在顯著差異,但它們通常使用類似的技術來實現其目標。威脅防護引擎監控危險訊號(例如使用返回導向程式設計 (ROP) 或已知惡意軟體的程式碼),以偵測和封鎖零時差惡意軟體。
- 整合:在零時差惡意軟體攻擊期間,快速、協調的回應對於最大限度地減少事件的影響和成本至關重要。Check Point 解決方案整合了組織的安全架構,能夠針對快速發展的威脅進行協調和自動化回應。
Check Point 對人工智慧 (AI) 的使用對其以預防為重點的安全策略至關重要。要了解有關人工智慧如何幫助防止網路攻擊的更多信息,請查看此白皮書。
開始使用零日預防
清楚了解組織目前的安全狀態對於改進至關重要。 若要採取預防零時差攻擊的第一步,請進行 Check Point 的免費安全檢查。
另一個好的步驟是將安全工作集中在您最脆弱的資產上。 對於許多組織來說,這現在是他們的遠端員工。 歡迎您報名參加演示,了解 Check Point 如何協助保護您的遠端員工免受零時差惡意軟體攻擊。
反映意見