【网络安全】零日漏洞（0day）是什么？如何防范零日攻击？

零日攻击是利用零日漏洞（0day）对系统或软件应用发动的网络攻击，近年来，零日攻击威胁在日益增长且难以防范，零日攻击已成为企业网络信息安全面临的最严峻的威胁之一。

What is a zero-day attack？

零日攻击是指攻击者发现并利用服务提供商不知道的弱点。这个漏洞可以存在与软件、操作系统、浏览器、Java日志工具等。

什么是零日漏洞(0day vulnerability)？

漏洞是源于编程错误或不当配置而产生的软件或硬件缺陷。由于漏洞是无意的，因此它们很难被发现，并且可能几天、几个月甚至几年都不会被注意到。大部分的漏洞都是第三方的安全研究人员发现。

零日漏洞也可以称为零时差漏洞，通常是指还没有补丁的安全漏洞。

零日漏洞中的“零日”得名于漏洞被公开后，补丁未出现的天数。漏洞被公开当天，一般来讲都不会及时推出补丁，所以称为零日漏洞；如果N日后仍然没有补丁，则称为N日漏洞。换个角度讲，“零日”也可以理解为针对此漏洞的攻击出现在哪天，漏洞公开当天即利用此漏洞的攻击称为零日攻击，以此类推。

实际上，“零日”现在已经不再局限于漏洞被公开的时间长短。所谓“零日”不一定是真的刚刚发现，黑客完全有可能在很久之前发现了漏洞，但就是没有公开。那么对于外界来说，漏洞公开的那一刻才能称为零日漏洞。所以，“零日”往往可以理解为“软件供应商和公众未知”，但是“黑客或暗网上的交易者已知”。

有广泛影响的零日漏洞

1. 永恒之蓝（EternalBlue）：
   永恒之蓝漏洞是由美国国家安全局（NSA）开发的漏洞利用程序，于2017年4月14日被黑客组织影子掮客泄露。该漏洞利用程序可以用来进行远程代码执行，攻击者可以利用此漏洞攻击存在漏洞的计算机系统，从而进行恶意操作。
2. Struts2：
   Struts2是一种广泛使用的Java Web应用程序框架，由于其存在远程命令/代码执行漏洞，攻击者可以利用该漏洞执行恶意代码。近年来，Struts2漏洞频繁出现，给企业和个人用户带来了很大的安全威胁。
3. Bash破壳漏洞（Bash Shellshock）：
   Bash破壳漏洞是一种存在于Bash Shell中的漏洞，攻击者可以利用该漏洞通过构造恶意的环境变量来获取Shell的执行权限。一旦攻击者获取了Shell的执行权限，就可以对系统进行任意操作，包括窃取敏感信息、篡改系统配置等。
4. 心脏滴血漏洞（OpenSSL Heartbleed）：
   心脏滴血漏洞是一种存在于OpenSSL中的漏洞，攻击者可以利用该漏洞远程读取存在漏洞版本的OpenSSL服务器内存中的数据，从而获取内存中的用户名、密码、个人相关信息以及服务器的证书等私密信息。

零日漏洞典型利用方式

当攻击者发现一个以前未知的漏洞时，他们会针对该特定漏洞编写攻击代码，并将其打包到恶意软件中。这些代码一旦被执行，就会入侵系统。

攻击者有各种方法来利用零日漏洞。一种常见的方法是通过网络钓鱼邮件来传播恶意软件，这些邮件中嵌入了可以执行的恶意代码，当用户下载附件或点击链接时，就会执行这些恶意代码尝试进行攻击。

常见的零日攻击类型

• 帐户接管（ATO）攻击
  ATO攻击是指攻击者利用恶意软件对受害者的系统进行未经授权的控制，并通过受害者的系统进行一系列恶意操作，例如在系统中安装其他恶意软件，发送钓鱼消息/邮件给受害者的联系人，盗取受害者账户中的资金等。
• 水坑攻击
  水坑攻击的名称来源于自然界，捕食者会在水坑附近等待前来饮水的猎物并对其发动进攻，借此提高捕食的成功率。
  网络世界中的攻击者也会提前分析目标群体经常访问的网站，然后在这组网站上植入恶意程序。当目标群体的成员访问这些网站时，会有很大概率被恶意程序感染，进而传播并感染其他成员。
• 零日星期三
  Microsoft通常在每月第二个星期二发布系统更新补丁，所以有了非正式术语“星期二补丁日”。当然，如果出现有重大威胁的漏洞时（如零日漏洞），Microsoft也会发布紧急补丁，不会等到补丁日。黑客会选在补丁日的第二天进行新的攻击，以获取最长的攻击时间窗，所以此类攻击称为“零日星期三”。
  当前，“星期二补丁日”已经泛指Microsoft、Adobe或其他软件供应商定期发布补丁的时间。黑客会利用两次补丁发布之间的这段时间开展攻击活动，因为软件供应商不会针对所有漏洞频繁发布紧急补丁，所以黑客将拥有足够的时间进行破坏。

防止零日漏洞被利用的方法

没有一种方法能够完全防止代码中出现漏洞，但部署安全策略和安全工具可以将零日漏洞被利用的风险降到最低。

1. 防火墙

防火墙是一种基于预设安全策略监控传入和传出流量的安全系统。

防火墙位于受信任网络和不受信任网络（通常是互联网）之间，以防御威胁，阻止恶意内容到达受信任的网络，并防止敏感信息离开内部网络。

它们可以内置在硬件、软件或两者的组合中。通过监控流量，防火墙能够阻止可能针对安全漏洞从而导致零日漏洞利用的流量。

2. 扩展检测与响应 (XDR)技术

扩展检测与响应 (XDR) 是一种保护 IT 基础设施的多层安全技术。

它通过从多个安全层面（包括端点、应用程序、电子邮件、云端和网络）收集数据并将数据相互关联，帮助您加深对组织技术环境的了解，从而达到保护 IT 基础设施的目的。

借助这个多层联动的解决方案，网络安全技术团队能够快速有效地检测、调查和应对网络威胁。

参考链接：保护 IT 基础设施的多层安全技术-扩展检测与响应 (XDR)

3. 端点检测与响应 (EDR)

端点检测与响应 (EDR) 是指一类对计算机工作站和其他客户端上与威胁相关的信息进行持续监控的工具。EDR 的目标是实时识别安全漏洞，并对潜在威胁做出快速响应。端点检测与响应，有时称为端点威胁检测与响应 (ETDR)

参考链接：安全知识普及：了解端点检测与响应 (EDR)对企业的重要性

4. 网络隔离技术

网络隔离的实现通常基于访问控制思想，通过物理隔离、协议隔离和应用隔离等技术实现。

• 物理隔离技术主要在OT区域实施，可以通过网络规划进行完全的物理隔离，也可以使用网闸技术来完成物理隔离；
• 协议隔离技术则依靠TCP/IP协议原理实现，如基于二层的MAC地址访问控制技术、基于VLAN的广播域控制技术、基于隧道协议(IPSec、GRE等)的VPN技术；
• 应用隔离技术主要指在工业互联网的云平台的SDN的网络环境中，如容器、虚拟机、沙箱虚拟化隔离技术等。

5. 实时更新补丁、修复漏洞

实时更新各系统软件，及时更新漏洞补丁，尽量缩短零日漏洞在系统和应用软件中的存在时间，定期对系统漏洞进行扫描修补，降低系统面对攻击的风险。

6. 建立完善的应急响应方案

无论采取何种安全措施，都不能完全排除零日攻击威胁。完善的应急响应方案可以帮助企业快速处理阻止攻击，将企业损失减少到最小。

7. 加强员工安全意识教育

组织员工参加网络安全意识培训，掌握网络安全基本常识，防止被黑客从内部攻破。

近些年，零日攻击正在变得越来越频繁，虽然不能完全防范零日攻击，但是企业通过建设完善的威胁检测防护体系，同时提升人员防范意识，可以减少网络系统被零日攻击的机率，降低零日攻击给自身企业造成的损失。