点击↑蓝字

关注墨云安全

去年以来，利用未修复软件漏洞的零日攻击暴增。根据Zero-Day Tracking Project等网络安全研究人员的调查研究，2021年录得80多个零日漏洞利用，比2020年的36个增加了一倍多。而2022年上半年就已录得22个此类漏洞利用。

漏洞一出现，网络犯罪分子就会争相抢在软件开发人员编写、测试和发布补丁之前加以利用。从漏洞出现到补丁发布之间的时间窗口可能是几个小时，但更可能是几天或几周之久。所以，有必要招募“威胁猎手”主动搜索公司基础设施，查找成功侵入的攻击迹象。

沦为零日攻击受害者的风险相当大，后果也很真实。波耐蒙研究所的调查研究发现，80%的成功数据泄露源于零日漏洞利用。被利用的漏洞存在于企业常用软件中，比如微软的Windows和Office、谷歌Chrome、Adobe Reader、苹果iOS和Linux。

2021年Apache Log4j Java漏洞曝出后，可能遭遇零日漏洞利用的名单上又可以加进上亿设备和大批网站、消费者和企业服务，以及无数应用程序了。

保护企业安全的第一步就是施行良好IT安全卫生：及时修复和更新所有软件。不过，很多公司都会忽视或拖延这种回归基本的方法。诚然，测试和部署软件补丁可能会耗费时间和资源，而且修复过程也可能会中断业务运营。但这是十分关键的保护措施，而且成本远低于数据泄露。

稳健的边界和基于特征码的边缘控制（如杀软和如期防御）并不能提供完全防护，因为它们只能检测已知威胁。而零日攻击中，网络罪犯是首先发现并利用软件漏洞的人，上述安全措施就对此类攻击视而不见了。所以，零日漏洞利用工具包能够在黑市上高价出售，卖出几万到几百万的价格。有效，就是那么值价！

一旦使用零日漏洞利用程序偷偷渗透了某个网络，网络犯罪分子就可以优哉游哉地部署自己想用的武器了，从病毒和蠕虫到恶意软件和勒索软件，再到远程代码执行，想用什么用什么。他们还可以在网络内横向移动，盗取身份和数据。只要你不知道他们已经潜入网络，就相当于将自己宝贵数字资产的开箱钥匙交到了他们手上。

正是这种不可见性使得主动威胁追踪成为了多层安全方法的基本组成部分。而之所以能够实现主动威胁追踪，部分原因在于我们很聪明地利用机器学习将需要人工干预的警报数量减少了90%，从而释放了稀缺的网络安全人力资源。部分业内人士认为，这种成功意味着安全人员会被算法挤走，算法能够替代人类来做这些事，包括威胁追踪。

机器学习确实为网络安全管理带来了诸多好处，但它永远代替不了安全运营中心里的人。机器能够快速处理消除误报和重复之类的大批量任务。机器学习可以辅助捕捉已知威胁，包括高级和“low-and-slow”威胁，此类威胁具有明确的入侵指标（IoC）。

但是，如果要主动捕捉IoC未知的零日威胁，人类的智慧、直觉、战略思维和创造性解决问题的能力就必不可少了，只有人类猎手才能找出另一人在己方环境中恶意活动的微妙迹象。

这种方法是研究密集型的。分析师可能会形成一种猜想，然后基于安全数据日志和用户及实体行为分析（UEBA）日志中观测到的模式或异常活动来验证这种猜想。美国网络安全与基础设施安全局（CISA）认为，此类模式和异常活动包括文件修改失败、CPU活动增多、无法访问文件、网络通信异常、管理员权限受损、凭证被盗、数据库读取量增加，以及非常规地理位置访问。

公司可以内部培养威胁追踪人员，或者通过托管服务获取。无论哪种方式，这些防御人员及其主动威胁追踪专长都是安全行业新菁英。借助全面日志数据、威胁情报和MITRE ATT&CK知识库等工具，威胁猎手能够在对抗零日攻击、多阶段攻击和狡猾low-and-slow黑客方面发挥重要作用。

墨云科技结合AI与网络攻防技术，打造核心产品Vackbot智能自动化风险验证平台，集成国际先进的黑客攻击技术与主流的黑客攻击剧本，通过对用户网络环境攻击面、安全防护设备设施进行持续性渗透攻击与攻击模拟，自主决策探寻所有可能的攻击路径，发现用户网络环境和业务系统的风险点及安全防护设备的无效防护策略，最终指引客户以黑客视角对自身企业安全性进行全面评估，进而从容有序的解决企业安全问题。