看国外谈零日困境

国外网络安全媒体上探讨了有关零日困境的问题，文章指出企业网络安全已被破坏的说法已成为陈词滥调，但这一切都太真实了。如果消费者不信任全球品牌来保护他们的数据安全，那么显然有些事情是行不通的。事实上，数字世界已经成为一个非常危险的地方。实际上有数以百万计的病毒漂浮其中，但构成最大威胁的是零日攻击，其中涉及以前从未见过的恶意软件。根据Ponemon Institute的2020年报告，80%的成功违规行为是零日攻击。

这些攻击的数量一直在稳步增长，从2017年的17次增加到2021年的80次。仅谷歌今年就已经遭受了至少六次零日攻击。尽管这一趋势令人担忧，但更令人不安的是这些攻击背后的高度组织化的开发过程随着时间的推移而演变。

它通常从自由职业的“漏洞赏金猎人”开始，他们梳理主要参与者发布的新软件的代码以寻找漏洞。这有点像淘金。漏洞很难找到，但如果你有技巧和运气的正确组合，你绝对可以一夜暴富。一家恶意软件供应商——是的，这个生态系统中有“供应商”——为Android漏洞提供了250万美元，并将为其他操作系统和企业级应用程序支付相当的金额。当这些组织发现漏洞时，他们将能够以更高的价格出售它。让自己成为勒索软件的漏洞尤其有价值，因为大多数成为受害者的公司别无选择，只能付费。

为什么零日漏洞利用如此有效，并受到不良行为者的高度重视？原因与网络安全防御的工作方式有关。下面是杀伤链图，最初改编自洛克希德·马丁公司针对网络犯罪世界的军事战略。

在这个7步图表所传达的进展中，网络安全行业提供了两种类型的响应。图的左侧是预防性响应——首先尝试阻止入侵。一种这样的策略是培训员工。不要点击那个可疑的链接！这里的弱点是，即使是最有安全意识的员工也是人，偶尔也会犯错。

另一种常见的预防策略是部署防病毒软件，通常与垃圾邮件拦截一起销售。这种方法背后的前提是可以识别附加到网络钓鱼电子邮件的恶意软件。这里的问题是，这些解决方案最终依赖于基于过去已知攻击的黑名单或模式。即使有了人工智能，当全新的事物出现时，他们也没有识别它的依据。

再往右看，有许多基于检测异常行为的解决方案，无论是关于网络（包括端点）、应用程序还是用户（人类或计算机）。重要的是要记住这些系统不能防止损坏。它们限制了损害。

具有讽刺意味的是，几乎每一个网络安全最佳实践列表都包括一个最右边的：严格的备份流程。可靠的备份是针对勒索软件的合法防御，但它昂贵、耗时且投资回报率为零。此外，坦率地说，备份几乎总是在IT待办事项列表的底部，它并不总是经过测试，而且并不总是有效。

总而言之，零日攻击的问题并没有得到解决，因为每种方法都依赖于对过去发生的事件的了解，无论是已知的恶意软件还是作为发现基准的已知“正常”网络/应用程序行为恶意软件引起的异常。

理想的零日解决方案不依赖于过去已知的错误URL或模式。它将能够拦截和评估每个端点的URL点击，隔离可疑的有效负载，并在通过它们之前实际查看它们在隔离中的行为。这样的解决方案将像垃圾邮件/病毒拦截器一样在杀伤链的最左侧运行，但在面对零日攻击时它不会失败。

长期以来，传统观点认为不可能建立这样的预防性解决方案。然而，现在，鉴于云的力量，这种方法是可行的。极其卓越的预防技术不会让公司很快放弃其他安全解决方案，但它会让安全社区领先于不良行为者，而不必迎头赶上。

后记：2011 年，洛克希德马丁公司的分析师介绍了一个通常被不良行为者使用的七步情报驱动流程，并将其称为“网络杀伤链”。对于那些可以回顾一下的人来说，这七个阶段是：

●侦察：识别目标、收集数据（包括鱼叉式网络钓鱼/社会工程攻击研究）和评估结构。

●武器化：识别漏洞，创建/发现漏洞，并开发一种感染目标的方式。

●交付：将漏洞利用转移到目标设备上。