知物由學 | 如何應對日益強大的零日攻擊
作者介紹:Benjamin Roussey加利福尼亞州薩克拉門托人。他擁有兩個碩士學位,在美國海軍服役四年。
以下是正文:
企業對技術的依賴是一把雙刃劍。沒有人能否認技術正在成為企業差異化和進步的最大推動力。另一方面,沒有人能夠忽視企業因為技術的問題也可能陷入的混亂局面。在現代企業需要處理的幾個網絡安全問題中,零日攻擊正在引起越來越多的關註。
什麽是零日攻擊?
零日攻擊的源頭是因為零日漏洞,“零日漏洞”是指被發現後立即被惡意利用的安全漏洞,這種攻擊利用廠商缺少防範意識或缺少補丁,從而能夠造成巨大破壞,之所以這樣說,是因為開發人員和網絡安全的團隊沒有時間保護他們的系統。
零日攻擊威脅越來越頻繁
零日攻擊正在變得越來越頻繁。目前安全團隊越來越難去發現這種攻擊,更不用說防止它們。頻繁的操作系統更新和網絡設置升級也會使系統遭受零日攻擊。就如我們所說的那樣,這是一個令人沮喪的情況,但這也就是為什麽網絡安全專家能夠獲得高額薪酬來保護企業系統免受這些攻擊。
WannaCry的教訓
2017年5月爆發的WannaCry勒索軟件被大規模的新聞報道(想到它在全球造成的損失達40億美元,這就不意外)。然而,大部分新聞媒體都是在傳播恐懼,而不是幫助企業了解勒索軟件如何利用零日漏洞造成破壞。
這裏有幾點需要知曉:
1. 國家安全局(NSA)在全球災難發生之前發現了系統漏洞,但沒有透露。
2. 到2017年3月,微軟在EternalBlue系統中發現了被視為Windows系統違規的潛在原因的漏洞。
3. 為了縮小差距,微軟發布了緊急安全補丁。
4. 但是,許多用戶並沒有升級他們的操作系統,並且遭受了全面的勒索軟件攻擊。
以這種方式,許多系統中的零日漏洞使勒索軟件在全球範圍內危害了多臺計算機和網絡。這種攻擊的廣度和影響很難被預估,它們可能會使經濟陷入停滯!
WannaCry教給企業及其IT部門的最大教訓就是專註於修補軟件並升級到最新的安全版本。
如何應對零日攻擊?
1.機器學習是一個長期的解決方案
所有基於統計和簽名的威脅檢測模型都存在固有問題。雖然這些方法對已知的安全威脅都適用,但在零日攻擊時,它們仍然存在不足。由於這些傳統方法依賴於已知威脅的數據庫,因此在對抗攻擊方法的變化時,它們的能力非常有限。
這就需要行為分析系統。這些系統不是單純地關註數據庫的威脅,而是評估程序,並試圖預測它們的操作在實際上是否是有意的,或者是否與蓄意的更改功能相關聯。隨著時間的推移,這些系統將暴露於程序的整個操作配置文件中,並且能夠在檢測到可疑數據訪問嘗試時發出警報。
到目前為止,企業正在利用基於數據庫和基於機器學習的算法模型的優勢,努力實現混合模型。一旦這樣的系統穩定下來,它就變成了阻止用戶系統和軟件中的弱端點、監視異常的程序行為,並將已知和已驗證的程序操作添加到數據庫中的問題。
2.部署受過零日攻擊培訓的事故響應團隊
無論你采取何種安全措施,都不能排除零日攻擊威脅。所以,最好準備好迎接這種攻擊所帶來的挑戰。
1. 劃分責任,以便響應團隊的成員知道一旦混亂發生他們需要做什麽。
2. 建立可靠的溝通手段,只讓相關人員參與,防止恐慌蔓延,而不影響信息流動。
3. 模擬演習是一個突出的方式,以保持事故響應小組的能力。
4. 投資於團隊培訓,使他們能夠使用最新的工具和技術來限制零日攻擊的影響,並確保流程中業務的連續性。
除了上面介紹的內容之外,還有其他一些措施可以幫助您防止零日攻擊。
1. 永遠不要在您的計算機系統上安裝任何不必要的軟件。每個計算機程序都是零日漏洞的潛在來源。查看企業系統中正在使用的軟件列表並卸載那些不需要的軟件,這是一種明智的做法。
2. 負責確保所有使用的軟件保持更新。
3. 盡管防止利用應用程序中未知漏洞的攻擊是非常困難的,但部署防火墻可能並且實用,可以報告和阻止任何未經授權和可疑的對企業數據訪問嘗試。
據估計,到2022年,零日攻擊的擴散將非常嚴重,網絡安全專家將面臨日常解決這些問題的挑戰。為了能夠控制混亂局面,企業必須持續投入精力實施強有力的運營控制,並執行徹底和定期的安全審計,以找出差距並加以填補。
本文由網易雲易盾組織翻譯,譯者:陸小鳳。
知物由學 | 如何應對日益強大的零日攻擊