零日攻击是指在攻击进行中被发现的攻击, 这意味着安全团队有“零天”的时间来准备或修复攻击者通过其进入的向量.
Indeed, 根据美国国家标准与技术研究院(NIST)“零日攻击”利用以前未知的硬件、固件或软件 vulnerability.”
零日漏洞安全组织以前不知道的漏洞,目前没有现有的补丁或补救措施. 这意味着必须在威胁行为者发现并利用它之前从头开始快速开发它. 如果该漏洞尚未被利用,则使用 security operations center (SOC) 应该认为自己非常幸运吗.
但如果有迹象表明漏洞已被利用, 然后是时候采取行动,试图限制正在进行的攻击的影响.
零日漏洞就是 threat actor moving into attack mode, 在任何相关安全人员意识到之前利用发现的漏洞. From there, 攻击者希望他们有最大限度的时间在目标网络上自由移动,这样他们就可以窃取尽可能多的数据.
如果零日漏洞的消息被公开,组织的声誉可能会受到严重损害.
零日攻击通过威胁参与者对目标网络实施阶段性攻击方法来实现. 当然,威胁行为者首先要寻找漏洞. 在遇到一个漏洞后——并决定值得花时间尝试利用——攻击者将部署代码来利用该漏洞.
From there, 攻击者可以精确定位易受攻击的系统,并在确定的入口点开始渗透网络. 如果他们没有被发现的话, 攻击可以完全部署到目标网络上,因此威胁参与者可以寻找有价值的数据, hold it for ransom, 或者卖给出价最高的人.
零日攻击可能是由威胁行为者组织实施的, 组队从受害者那里窃取高度敏感的信息. Or, 可能是一个非常老练的罪犯, 通过利用定制工具来利用漏洞,同时危及数十个或数百个组织.
According to Rapid7’s 2024 Attack Intelligence Report在有针对性的零日攻击中利用的漏洞通常有更引人注目的背景故事. 这也是必然会自然发生的, 因为对任何公司的声誉来说,发现自己的网络正在受到主动攻击都不是一件好事——而且在被发现之前,这种攻击可能已经发生了很长一段时间.
现在,许多网络安全研究人员都在追踪漏洞从被公众所知到被可靠地报告为被利用之间的时间. 这个时间窗口被称为“已知开发时间”,在过去几年里,这一差距已经大幅缩小,主要是由于零日攻击.
零日攻击可能是最耸人听闻的 cybersecurity 因为防御者根本没有时间为这些恶意行为做准备.
这意味着他们可以在一个最可能的环境中引起最终的疯狂和肾上腺素飙升, and very recently, going about business as usual. 让我们来看看最近的几个零日攻击的突出例子.
对其绝对的有效性加以限制, proliferation, 零日攻击对威胁行为者的普及, 到2024年初,53%的新广泛威胁漏洞在软件生产商实施修复之前就被利用了.
识别零日攻击需要从根本上改变或增加SOC的实践. Specifically, 这意味着转向或整合主动措施,使安全从业人员和分析师能够超越网络边界.
In this way, 他们可以积极地追踪已知的遥测威胁,这些威胁在更广泛的安全领域被认为是可疑的. 有了增强的端点遥测技术, 团队可以快速查看日志并获得对所有端点活动的关键可见性. 让我们看一下其他一些识别零日攻击的技术.
管理漏洞——或者仅仅是意识到它们——可能是soc在识别潜在的零日攻击时所能做的最重要的事情.
The overall goal, of course, 是在关键漏洞被利用之前识别它吗. 但是,如果在每个情况下都不可能做到这一点,那么团队可以利用有能力的人 vulnerability management (VM) 缩短开发和发现之间时间的工具.
这有助于监视网络活动,以便有一个不断发展的, 实时记录网络上发生的事情. With network traffic analysis (NTA), SOC不仅可以提高对整个网络中设备的可见性, 但也有能力以丰富的细节和额外的网络背景更快地响应调查.
观察并报告核实情况 indicators of compromise (IOCs) 能否帮助整个网络安全社区审查这些已知的ioc,以便他们能够更早地识别它们 attack surfaces. ioc本质上是在取证分析中发现的数据,可以提醒分析师注意过去/正在进行的攻击或违规行为.
现在转向预防零日攻击, 有几种技术和/或方法可以帮助实践者真正达到在黑暗中看到东西. 我们的目标是让那些难以看到和发现的东西变得清晰可见,这样团队就可以迅速采取行动并解决问题.
收集过去攻击的法医证据的过程可以帮助SOC了解是否存在仍在进行的历史攻击. 数字取证和事件响应(DFIR) 系统都收集这些取证数据, also known as artifacts, 积极寻找潜在的国际石油公司.
对于一个安全组织来说,要监视企业的面向互联网的资产,利用 外部攻击面管理(EASM) can be very effective. EASM平台可以监视暴露的凭据, public-cloud misconfigurations, 以及其他具有更大内在暴露风险的资产特有的脆弱性.
这种类型的系统是针对最突然或迫在眉睫的威胁的包罗万象, 零日攻击就是其中的一种. Essentially, 入侵检测和防御系统(IDPS) 通过被动地驾驶交通,随后在标记后几乎立即阻止可疑或恶意行为.
使用这种终极主动安全姿态技术, 团队可以尝试在任何真正的破坏到来之前保护他们的网络. 保持对威胁源的实时可见性, threat hunters 能够非常熟悉正在传播的威胁,并准备好自己的网络,以防威胁来袭.