譯者 | 陳峻

審校 | 孫淑娟

零日攻擊（zero-day attack）一詞通常是指利用計(jì)算機(jī)系統(tǒng)或軟件應(yīng)用中的未知漏洞，實(shí)施網(wǎng)絡(luò)攻擊的行為。由于新發(fā)現(xiàn)的漏洞無(wú)法被提前知曉，所以存在此類問題的系統(tǒng)或應(yīng)用，無(wú)法通過事先修補(bǔ)的方式，去預(yù)防攻擊，因此被稱為“零日”。而且，正是因?yàn)槠潆y以預(yù)測(cè)和防御，所以該類型的攻擊具有極強(qiáng)的危險(xiǎn)性和破壞性。

零日防護(hù)的基本措施

通常，我們可以采取如下一些基本措施來防止零日攻擊：

• 安裝最新的安全補(bǔ)丁，使得所有軟件和系統(tǒng)都保持最新：這是非常重要的，畢竟軟件供應(yīng)商會(huì)經(jīng)常發(fā)布各種補(bǔ)丁，以修復(fù)新近發(fā)現(xiàn)的漏洞?？梢?，通過讓系統(tǒng)和軟件保持最新，我們可以從根本上降低被零日攻擊利用的風(fēng)險(xiǎn)。
• 使用防病毒軟件：防病毒軟件可以協(xié)助用戶檢測(cè)和阻止已知的惡意軟件，并有針對(duì)性地防范那些使用惡意軟件，去利用系統(tǒng)漏洞的零日攻擊。
• 使用防火墻：防火墻是一種網(wǎng)絡(luò)層面上的安全系統(tǒng)。它能夠根據(jù)預(yù)先確定的安全監(jiān)控規(guī)則，控制傳入和傳出的網(wǎng)絡(luò)流量。它可以協(xié)助用戶阻止未經(jīng)授權(quán)的訪問，以及以此為攻擊手段的零日攻擊。
• 使用雙因素身份驗(yàn)證（two-factor authentication，2FA）：2FA通過要求除了密碼之外，提供額外的信息（例如：發(fā)送到手機(jī)上的驗(yàn)證碼），從而為您的帳戶增加一層額外的安全保護(hù)。顯然，即使在您的密碼被泄露的情況下，它仍然可以防止未經(jīng)授權(quán)者訪問您的帳戶。
• 啟用瀏覽器的安全功能：如今，各種Web瀏覽器都在不同程度上內(nèi)置了安全功能，例如：惡意軟件保護(hù)、網(wǎng)絡(luò)釣魚保護(hù)、以及Cookie管理等，可協(xié)助抵御不同程度的零日攻擊。因此，請(qǐng)確保在您的瀏覽器設(shè)置中啟用此類功能。
• 謹(jǐn)慎打開電子郵件和鏈接：零日攻擊通常會(huì)使用網(wǎng)絡(luò)釣魚策略，來誘騙用戶點(diǎn)擊惡意鏈接，或是下載惡意軟件。為此，我們需要警惕來源不明的電子郵件和鏈接，避免點(diǎn)擊可疑的郵件鏈接或下載里面的附件。

零日攻擊的高級(jí)防御措施

為了確保敏感信息得到合理的保護(hù)，正常的操作不會(huì)被中斷，我們除了具備上文介紹的基本知識(shí)以外，還需要通過各種高級(jí)安全措施和實(shí)踐（例如：補(bǔ)丁管理、事件響應(yīng)和零信任安全等），來減少零日攻擊的可能性，或者是在確實(shí)被入侵的情況下，盡量減少由其帶來的潛在影響。

實(shí)施補(bǔ)丁管理

補(bǔ)丁管理是一個(gè)持續(xù)的過程。它涉及到識(shí)別軟件更新或補(bǔ)丁，確定其優(yōu)先級(jí)，并通過安裝補(bǔ)丁來解決計(jì)算機(jī)系統(tǒng)和應(yīng)用的已知漏洞。通過實(shí)施強(qiáng)大的補(bǔ)丁管理流程，組織可以通過確保所有系統(tǒng)和應(yīng)用都能夠得到最新的補(bǔ)丁保護(hù)。下面，我們來具體看看補(bǔ)丁管理是如何防范零日攻擊的：

• 識(shí)別漏洞：補(bǔ)丁管理首先需要識(shí)別組織所使用的系統(tǒng)和應(yīng)用中有哪些已知的漏洞。我們可以通過定期掃描和評(píng)估的方式，以及通過監(jiān)控服務(wù)提供商的官網(wǎng)、以及其他安全信息提供來源，以獲取有關(guān)新發(fā)現(xiàn)的漏洞信息來實(shí)現(xiàn)。
• 確定補(bǔ)丁的優(yōu)先級(jí)：一旦發(fā)現(xiàn)新的漏洞，補(bǔ)丁管理系統(tǒng)就需要根據(jù)補(bǔ)丁的潛在影響、被利用的可能性，來確定應(yīng)該首先安裝哪些補(bǔ)丁。這將有助于組織集中有限的精力，優(yōu)先處置那些最關(guān)鍵的漏洞。
• 安裝補(bǔ)?。阂坏┐_定了補(bǔ)丁的優(yōu)先級(jí)，補(bǔ)丁管理系統(tǒng)就應(yīng)當(dāng)在所有適用的系統(tǒng)和應(yīng)用上安裝對(duì)應(yīng)的補(bǔ)丁。整個(gè)過程既可以是手動(dòng)完成，也可以使用自動(dòng)化的工具和流程來實(shí)現(xiàn)，具體則取決于組織內(nèi)IT環(huán)境的規(guī)模和復(fù)雜性。
• 測(cè)試和驗(yàn)證：補(bǔ)丁安裝完畢后，補(bǔ)丁管理系統(tǒng)需要測(cè)試和驗(yàn)證補(bǔ)丁是否已被正確地安裝，并能按照預(yù)期運(yùn)行。這有助于確保補(bǔ)丁能夠真實(shí)、有效地修補(bǔ)它們所針對(duì)的漏洞。

使用Windows Defender漏洞防護(hù)

Windows Defender Exploit Guard是Windows操作系統(tǒng)的一項(xiàng)安全功能，能夠有助于抵御零日攻擊、以及其他類型的網(wǎng)絡(luò)威脅。它包含了一組功能和控件，可防范、檢測(cè)和響應(yīng)針對(duì)Windows系統(tǒng)的嘗試與利用。Windows Defender Exploit Guard的主要功能包括：

• 減少攻擊面（Attack Surface Reduction，ASR）：此功能有助于通過阻止常見的利用Windows漏洞的技術(shù)（例如：內(nèi)存操作和權(quán)限升級(jí)等），來減少暴露的攻擊面。同時(shí)，它還可以控制哪些應(yīng)用或進(jìn)程可以訪問某些系統(tǒng)資源，例如：具體哪個(gè)APP可以在使用中訪問網(wǎng)絡(luò)和文件系統(tǒng)。
• 受控的文件夾訪問：此功能通過阻止可疑的惡意進(jìn)程，去訪問某些文件夾或文件，進(jìn)而保護(hù)敏感數(shù)據(jù)，免遭未經(jīng)授權(quán)的讀取或修改。此外，它還允許用戶通過列表的形式，自定義哪些受信任應(yīng)用和進(jìn)程可以訪問哪些文件夾。
• 網(wǎng)絡(luò)保護(hù)：此功能通過阻止各種可疑的網(wǎng)絡(luò)活動(dòng)和連接，來防止基于網(wǎng)絡(luò)的攻擊。通過要求對(duì)所有網(wǎng)絡(luò)流量進(jìn)行身份驗(yàn)證，它從網(wǎng)絡(luò)層面上，防止了攻擊者對(duì)于某些資源的未經(jīng)授權(quán)的訪問。
• 漏洞利用保護(hù)：此功能通過對(duì)某些程序應(yīng)用事先定義好一組緩解措施，以及時(shí)“彌補(bǔ)”軟件和應(yīng)用中新被發(fā)現(xiàn)的漏洞。當(dāng)然，我們也可以對(duì)其進(jìn)行定制，以將特定的緩解措施，應(yīng)用于特定的程序或流程中。

總體而言，Windows Defender Exploit Guard是一款強(qiáng)大的工具，可幫助我們抵御Windows系統(tǒng)所面臨的零日攻擊、以及其他類型的網(wǎng)絡(luò)威脅。因此，保持此功能處于啟用狀態(tài)，并保持其持續(xù)更新是非常重要的。它在某種程度上起到了系統(tǒng)“守門員”的作用。

零信任和XDR

零信任安全和XDR（可拓展威脅檢測(cè)與響應(yīng)，Extended Detection and Response）可以通過提供更為全面和主動(dòng)的安全方法，來阻止零日攻擊。

零信任安全模型假定：無(wú)論來自何處，所有網(wǎng)絡(luò)流量都應(yīng)當(dāng)被視為不受信任的。這就意味著在允許被訪問敏感信息或系統(tǒng)之前，所有流量都需要經(jīng)過仔細(xì)的審查，以防止攻擊者利用認(rèn)證與授權(quán)上的漏洞，去訪問目標(biāo)網(wǎng)絡(luò)。

而XDR集成了來自多種安全技術(shù)和來源的數(shù)據(jù)，可提供更全面的組織安全態(tài)勢(shì)視圖。這使得安全團(tuán)隊(duì)能夠更快、更有效地檢測(cè)和響應(yīng)新出現(xiàn)的威脅、以及零日攻擊形式。此外，XDR還可以幫助組織識(shí)別其現(xiàn)有環(huán)境中的潛在漏洞和風(fēng)險(xiǎn)，進(jìn)而前攝性地防止零日攻擊的發(fā)生。

利用下一代防病毒

下一代防病毒（Next-Generation Antivirus，NGAV）是一種防病毒軟件，它使用先進(jìn)的技術(shù)和處理能力，來提供針對(duì)惡意軟件、以及其他安全威脅的更有效的保護(hù)。

與主要依靠簽名檢測(cè)來識(shí)別已知威脅的傳統(tǒng)防病毒軟件不同，NGAV會(huì)使用多種方法，來檢測(cè)和阻止惡意軟件。例如，它會(huì)用到基于行為的檢測(cè)、機(jī)器學(xué)習(xí)、以及啟發(fā)式方法。這些都使得NGAV能夠針對(duì)更廣泛的威脅（包括零日攻擊、以及其他新出現(xiàn)的威脅）提供更全面、更有效的保護(hù)。

準(zhǔn)備好事件響應(yīng)計(jì)劃

國(guó)外著名安全意識(shí)培訓(xùn)機(jī)構(gòu)SANS曾提出了經(jīng)典的事件響應(yīng)六大階段。它是一個(gè)可用于組織和協(xié)調(diào)安全事件響應(yīng)的框架，我們可以用來應(yīng)對(duì)由零日攻擊給組織造成的安全事件。它每個(gè)階段的具體內(nèi)容包括：

1. 準(zhǔn)備：此階段主要是制定待實(shí)施的安全事件響應(yīng)計(jì)劃，包括：建立角色和職責(zé)，定義流程，以及指定適當(dāng)?shù)墓ぞ吆唾Y源。

2. 識(shí)別：此階段主要是檢測(cè)和識(shí)別正在發(fā)生的安全事件。我們可以通過諸如：監(jiān)控網(wǎng)絡(luò)流量，分析日志，以及響應(yīng)來自安全工具與設(shè)備的警報(bào)等多種方式來實(shí)現(xiàn)。

3. 遏制：一旦確認(rèn)了安全事件，下一步就應(yīng)該通過遏制，以防止其傳播或造成進(jìn)一步的損害。此階段主要涉及到：斷開受影響的系統(tǒng)與網(wǎng)絡(luò)連接，關(guān)閉服務(wù)，或?qū)嵤┢渌焖俅胧?，來及時(shí)限制事件的影響。

4. 根除：該階段需要消除安全事件的根本原因。此處包括：刪除惡意軟件，修補(bǔ)暴露的漏洞，以及采取根本原因分析法（RCA），來挖掘事件背后的原因。

5. 恢復(fù)：阻止了事件惡化后，我們?cè)诖穗A段就需要恢復(fù)所有受影響的系統(tǒng)或數(shù)據(jù)。其中包括：恢復(fù)備份，重建系統(tǒng)，或通過實(shí)施多部門協(xié)作，讓組織盡快恢復(fù)到正常運(yùn)行的狀態(tài)。

6. 經(jīng)驗(yàn)教訓(xùn)：最后、也是最重要的是審查我們?cè)谑录憫?yīng)過程中，需要改進(jìn)的地方。該階段主要包括：開展事后審查，分析數(shù)據(jù)和日志，以及按需實(shí)施調(diào)整與更改，以防止類似事件的再次發(fā)生。

通過遵循上述六個(gè)階段，組織可以更快、更有效地響應(yīng)各類安全事件，以避免事件的蔓延，或造成進(jìn)一步的損害。值得一提的是，從事件響應(yīng)過程中吸取的教訓(xùn)，可以幫助組織識(shí)別和整改其現(xiàn)有環(huán)境中的各類漏洞或弱點(diǎn)，進(jìn)而防范可能出現(xiàn)的零日攻擊。

小結(jié)

綜上所述，由于零日攻擊利用的是未知的漏洞，獲取的是敏感的信息，甚至?xí)斐蛇\(yùn)營(yíng)的中斷，因此它對(duì)于組織和個(gè)人所構(gòu)成的威脅是相當(dāng)嚴(yán)重的。正因?yàn)槿绱?，防范此類攻擊?duì)于現(xiàn)有的大型系統(tǒng)、以及個(gè)人終端都是至關(guān)重要的。

在上文中，我們介紹了針對(duì)零日攻擊的基本與高級(jí)防御措施，其中深入討論了實(shí)施補(bǔ)丁管理、使用Windows Defender、零信任、XDR、NGAV、以及事件響應(yīng)計(jì)劃。希望這些有助于貴企業(yè)更好地免受零日攻擊，并能保持業(yè)務(wù)的持續(xù)穩(wěn)定運(yùn)營(yíng)。

譯者介紹

陳峻 （Julian Chen），51CTO社區(qū)編輯，具有十多年的IT項(xiàng)目實(shí)施經(jīng)驗(yàn)，善于對(duì)內(nèi)外部資源與風(fēng)險(xiǎn)實(shí)施管控，專注傳播網(wǎng)絡(luò)與信息安全知識(shí)與經(jīng)驗(yàn)。

原文標(biāo)題：??Preventing Zero Day Attacks: Advanced Best Practices??，作者：Gilad David Maayan