知物由学 | 如何应对日益强大的零日攻击

勿忘初心2018-11-15 16:01

欢迎访问网易云社区,了解更多网易技术产品运营经验。


“知物由学”是网易云易盾打造的一个品牌栏目,词语出自汉·王充《论衡·实知》。人,能力有高下之分,学习才知道事物的道理,而后才有智慧,不去求问就不会知道。“知物由学”希望通过一篇篇技术干货、趋势解读、人物思考和沉淀给你带来收获的同时,也希望打开你的眼界,成就不一样的你。当然,如果你有不错的认知或分享,也欢迎通过邮件(zhangyong02@corp.netease.com)投稿。


作者介绍:Benjamin Roussey加利福尼亚州萨克拉门托人。他拥有两个硕士学位,在美国海军服役四年。


以下是正文:


企业对技术的依赖是一把双刃剑。没有人能否认技术正在成为企业差异化和进步的最大推动力。另一方面,没有人能够忽视企业因为技术的问题也可能陷入的混乱局面。在现代企业需要处理的几个网络安全问题中,零日攻击正在引起越来越多的关注。


什么是零日攻击?

 


零日攻击的源头是因为零日漏洞,“零日漏洞”是指被发现后立即被恶意利用的安全漏洞,这种攻击利用厂商缺少防范意识或缺少补丁,从而能够造成巨大破坏,之所以这样说,是因为开发人员和网络安全的团队没有时间保护他们的系统。


零日攻击威胁越来越频繁

零日攻击正在变得越来越频繁。目前安全团队越来越难去发现这种攻击,更不用说防止它们。频繁的操作系统更新和网络设置升级也会使系统遭受零日攻击。就如我们所说的那样,这是一个令人沮丧的情况,但这也就是为什么网络安全专家能够获得高额薪酬来保护企业系统免受这些攻击。


WannaCry的教训

2017年5月爆发的WannaCry勒索软件被大规模的新闻报道(想到它在全球造成的损失达40亿美元,这就不意外)。然而,大部分新闻媒体都是在传播恐惧,而不是帮助企业了解勒索软件如何利用零日漏洞造成破坏。


这里有几点需要知晓:

  1. 国家安全局(NSA)在全球灾难发生之前发现了系统漏洞,但没有透露。
  2. 到2017年3月,微软在EternalBlue系统中发现了被视为Windows系统违规的潜在原因的漏洞。
  3. 为了缩小差距,微软发布了紧急安全补丁。
  4. 但是,许多用户并没有升级他们的操作系统,并且遭受了全面的勒索软件攻击。

以这种方式,许多系统中的零日漏洞使勒索软件在全球范围内危害了多台计算机和网络。这种攻击的广度和影响很难被预估,它们可能会使经济陷入停滞!

WannaCry教给企业及其IT部门的最大教训就是专注于修补软件并升级到最新的安全版本。


如何应对零日攻击?

1.机器学习是一个长期的解决方案


所有基于统计和签名的威胁检测模型都存在固有问题。虽然这些方法对已知的安全威胁都适用,但在零日攻击时,它们仍然存在不足。由于这些传统方法依赖于已知威胁的数据库,因此在对抗攻击方法的变化时,它们的能力非常有限。


这就需要行为分析系统。这些系统不是单纯地关注数据库的威胁,而是评估程序,并试图预测它们的操作在实际上是否是有意的,或者是否与蓄意的更改功能相关联。随着时间的推移,这些系统将暴露于程序的整个操作配置文件中,并且能够在检测到可疑数据访问尝试时发出警报。


到目前为止,企业正在利用基于数据库和基于机器学习的算法模型的优势,努力实现混合模型。一旦这样的系统稳定下来,它就变成了阻止用户系统和软件中的弱端点、监视异常的程序行为,并将已知和已验证的程序操作添加到数据库中的问题。


2.部署受过零日攻击培训的事故响应团队

无论你采取何种安全措施,都不能排除零日攻击威胁。所以,最好准备好迎接这种攻击所带来的挑战。

  1. 划分责任,以便响应团队的成员知道一旦混乱发生他们需要做什么。
  2. 建立可靠的沟通手段,只让相关人员参与,防止恐慌蔓延,而不影响信息流动。
  3. 模拟演习是一个突出的方式,以保持事故响应小组的能力。
  4. 投资于团队培训,使他们能够使用最新的工具和技术来限制零日攻击的影响,并确保流程中业务的连续性。


除了上面介绍的内容之外,还有其他一些措施可以帮助您防止零日攻击。

  1. 永远不要在您的计算机系统上安装任何不必要的软件。每个计算机程序都是零日漏洞的潜在来源。查看企业系统中正在使用的软件列表并卸载那些不需要的软件,这是一种明智的做法。
  2. 负责确保所有使用的软件保持更新。
  3. 尽管防止利用应用程序中未知漏洞的攻击是非常困难的,但部署防火墙可能并且实用,可以报告和阻止任何未经授权和可疑的对企业数据访问尝试。


据估计,到2022年,零日攻击的扩散将非常严重,网络安全专家将面临日常解决这些问题的挑战。为了能够控制混乱局面,企业必须持续投入精力实施强有力的运营控制,并执行彻底和定期的安全审计,以找出差距并加以填补。


本文由网易云易盾组织翻译,译者:陆小凤。

网易云安全(易盾)基于网易20年技术积累及安全大数据,为互联网各行业提供反垃圾、验证码、注册保护、登录保护、活动反作弊、应用加固、DDoS 防护等整体安全解决方案,全程提供完善的技术支持,助力产品建立安全防护体系。点击可免费试用