零日漏洞在合法的漏洞賞金計(jì)劃中受到高度重視,并獲得了高達(dá) 200 萬(wàn)美元的賞金。由于不存在補(bǔ)丁或修復(fù)程序,即使在地下市場(chǎng)和暗網(wǎng)中,0-day 攻擊/利用也受到高度重視。它們?cè)诤谑斜话l(fā)現(xiàn)后數(shù)小時(shí)內(nèi)被賣(mài)給出價(jià)最高的人。
那么為何不!零日漏洞為威脅參與者提供了一個(gè)不受保護(hù)的網(wǎng)關(guān),以創(chuàng)建漏洞并使用它們來(lái)攻擊組織。由于安全防御要么無(wú)效要么沒(méi)有到位,攻擊成功的概率很高。在本文中,我們將深入探討 Web 應(yīng)用程序中的零日漏洞(相對(duì)于系統(tǒng)和網(wǎng)絡(luò))的含義,以及防范 0 日攻擊所需的一般安全性。
零日漏洞、利用和攻擊
零日漏洞
零日漏洞是相關(guān)方(用戶(hù)、組織、供應(yīng)商和安全團(tuán)隊(duì))以前不知道的軟件、硬件、固件或代碼中的差距/錯(cuò)誤配置/安全弱點(diǎn)/缺陷/錯(cuò)誤。只有當(dāng)成功的零日攻擊發(fā)生或被安全研究人員發(fā)現(xiàn)時(shí),它們才會(huì)為開(kāi)發(fā)人員和組織所知。
零日漏洞
零日漏洞利用是威脅參與者利用 0 日漏洞開(kāi)發(fā)的代碼和/或方法。威脅行為者可能會(huì)戰(zhàn)略性地等待最佳部署時(shí)間,而不是立即進(jìn)行攻擊。這是在組織/供應(yīng)商意識(shí)到其存在之前和之日的零日漏洞利用。從這一天零開(kāi)始,組織/供應(yīng)商開(kāi)始著手修復(fù)漏洞。
零日攻擊
當(dāng)威脅參與者利用零日漏洞時(shí),結(jié)果就是零日攻擊。這通常是當(dāng)組織和公眾認(rèn)識(shí)到漏洞時(shí)。典型的攻擊媒介是 Web 瀏覽器、電子郵件附件、漏洞利用工具包、網(wǎng)絡(luò)釣魚(yú)/魚(yú)叉式網(wǎng)絡(luò)釣魚(yú)電子郵件、0-day 惡意軟件等。
一般網(wǎng)絡(luò)安全與 Web 應(yīng)用程序安全的零日
網(wǎng)絡(luò)安全中的零日
網(wǎng)絡(luò)安全(網(wǎng)絡(luò)安全、端點(diǎn)安全、系統(tǒng)安全等)中的零日攻擊尤其危險(xiǎn)。這就是為什么。如果在固件中發(fā)現(xiàn)零日漏洞,物理設(shè)備可能會(huì)受到損害。除了禁止 USB 驅(qū)動(dòng)器、阻止攻擊向量和設(shè)置防火墻,直到供應(yīng)商承認(rèn)并修復(fù)問(wèn)題,組織無(wú)法采取太多措施來(lái)防止攻擊。一個(gè)例子是 Stuxnet 病毒,它以用于制造目的的計(jì)算機(jī)為目標(biāo)。這種計(jì)算機(jī)蠕蟲(chóng)通過(guò)破壞濃縮工廠中使用的機(jī)器來(lái)破壞伊朗的核計(jì)劃。
如果在您的操作系統(tǒng)或任何其他軟件中發(fā)現(xiàn)零日漏洞,您的系統(tǒng)/瀏覽器/IT 基礎(chǔ)設(shè)施仍然暴露給攻擊者,直到軟件供應(yīng)商發(fā)現(xiàn)漏洞、開(kāi)發(fā)補(bǔ)丁并在軟件更新中發(fā)布它。供應(yīng)商發(fā)現(xiàn)和解決問(wèn)題的時(shí)間越長(zhǎng),您的系統(tǒng)暴露時(shí)間越長(zhǎng),附加的風(fēng)險(xiǎn)就越大。
例如,攻擊者在 2011 年利用 Adob??e Flash Player 中未修補(bǔ)的漏洞攻擊安全公司 RSA。攻擊者向一小群?jiǎn)T工發(fā)送主題為“2011 招聘計(jì)劃”的網(wǎng)絡(luò)釣魚(yú)電子郵件,其中包含 Excel 電子表格附件。附件中包含的惡意軟件利用零日 Flash 漏洞安裝后門(mén)——Poison Ivy 遠(yuǎn)程管理工具——來(lái)控制計(jì)算機(jī)。使用后門(mén),攻擊者四處窺探特權(quán)信息,然后將其導(dǎo)出。他們竊取了與公司 SecurID 雙因素身份驗(yàn)證產(chǎn)品相關(guān)的敏感信息,并損害了其有效性。
Web 應(yīng)用程序安全中的零日
Web 應(yīng)用程序安全中的零日漏洞通常出現(xiàn)在新部署的代碼中。在內(nèi)部開(kāi)發(fā)和定制的業(yè)務(wù)應(yīng)用程序和系統(tǒng)中,這種可能性更高。任何人都無(wú)法事先知道或報(bào)告該漏洞。在后一種情況下,報(bào)告安全漏洞的可能性較低,因?yàn)閱蝹€(gè)組織正在使用該應(yīng)用程序。
如果零日漏洞存在于新部署的代碼或定制的內(nèi)部應(yīng)用程序中,則沒(méi)有外部供應(yīng)商會(huì)提供補(bǔ)丁。發(fā)現(xiàn)和修復(fù)漏洞(在攻擊者之前)的責(zé)任在于組織及其 IT 安全團(tuán)隊(duì)。他們需要在 SDLC 階段整合配備 AppTrana 等自動(dòng)滲透測(cè)試功能的智能掃描工具,以識(shí)別安全漏洞和漏洞并盡早修復(fù)它們。
也有例外。組織可以在構(gòu)建應(yīng)用程序時(shí)使用流行的 Web 應(yīng)用程序或開(kāi)源庫(kù)、主題和框架、第三方組件等。在這種情況下,供應(yīng)商將不得不修補(bǔ)漏洞。
但是,如果它是遺留系統(tǒng)、終止支持產(chǎn)品或停業(yè)供應(yīng)商怎么辦?在這種情況下,Web 應(yīng)用程序安全中的零日保護(hù)如何工作?在這種情況下,虛擬修補(bǔ)會(huì)派上用場(chǎng)。它為不再發(fā)布補(bǔ)丁或部署成本太高的應(yīng)用程序和 IT 基礎(chǔ)設(shè)施(例如物聯(lián)網(wǎng)設(shè)備)提供保護(hù)。
前進(jìn)的道路
鑒于其性質(zhì),基于現(xiàn)已過(guò)時(shí)的簽名分析模型的自動(dòng)掃描工具和掃描器不可能發(fā)現(xiàn)零日漏洞。為了有效地發(fā)現(xiàn)和保護(hù) Web 應(yīng)用程序中的零日攻擊和利用,需要一個(gè)現(xiàn)代的、托管的和直觀的 Web 應(yīng)用程序防火墻 (WAF),例如 AppTrana。
