|
國外網(wǎng)絡(luò)安全媒體上探討了有關(guān)零日困境的問題,文章指出企業(yè)網(wǎng)絡(luò)安全已被破壞的說法已成為陳詞濫調(diào),但這一切都太真實了。如果消費者不信任全球品牌來保護他們的數(shù)據(jù)安全,那么顯然有些事情是行不通的����。事實上,數(shù)字世界已經(jīng)成為一個非常危險的地方。實際上有數(shù)以百萬計的病毒漂浮其中���,但構(gòu)成最大威脅的是零日攻擊�,其中涉及以前從未見過的惡意軟件�。根據(jù)Ponemon Institute的2020年報告,80%的成功違規(guī)行為是零日攻擊。 這些攻擊的數(shù)量一直在穩(wěn)步增長,從2017年的17次增加到2021年的80次�。僅谷歌今年就已經(jīng)遭受了至少六次零日攻擊��。盡管這一趨勢令人擔憂����,但更令人不安的是這些攻擊背后的高度組織化的開發(fā)過程隨著時間的推移而演變��。 它通常從自由職業(yè)的“漏洞賞金獵人”開始,他們梳理主要參與者發(fā)布的新軟件的代碼以尋找漏洞���。這有點像淘金�。漏洞很難找到��,但如果你有技巧和運氣的正確組合����,你絕對可以一夜暴富����。一家惡意軟件供應(yīng)商——是的,這個生態(tài)系統(tǒng)中有“供應(yīng)商”——為Android漏洞提供了250萬美元�����,并將為其他操作系統(tǒng)和企業(yè)級應(yīng)用程序支付相當?shù)慕痤~�����。當這些組織發(fā)現(xiàn)漏洞時����,他們將能夠以更高的價格出售它。讓自己成為勒索軟件的漏洞尤其有價值,因為大多數(shù)成為受害者的公司別無選擇�,只能付費。 為什么零日漏洞利用如此有效�,并受到不良行為者的高度重視?原因與網(wǎng)絡(luò)安全防御的工作方式有關(guān)���。下面是殺傷鏈圖�����,最初改編自洛克希德·馬丁公司針對網(wǎng)絡(luò)犯罪世界的軍事戰(zhàn)略�����。 
在這個7步圖表所傳達的進展中�,網(wǎng)絡(luò)安全行業(yè)提供了兩種類型的響應(yīng)���。圖的左側(cè)是預(yù)防性響應(yīng)——首先嘗試阻止入侵�。一種這樣的策略是培訓(xùn)員工��。不要點擊那個可疑的鏈接����!這里的弱點是���,即使是最有安全意識的員工也是人,偶爾也會犯錯���。 另一種常見的預(yù)防策略是部署防病毒軟件����,通常與垃圾郵件攔截一起銷售�。這種方法背后的前提是可以識別附加到網(wǎng)絡(luò)釣魚電子郵件的惡意軟件��。這里的問題是��,這些解決方案最終依賴于基于過去已知攻擊的黑名單或模式���。即使有了人工智能����,當全新的事物出現(xiàn)時����,他們也沒有識別它的依據(jù)。 再往右看���,有許多基于檢測異常行為的解決方案�,無論是關(guān)于網(wǎng)絡(luò)(包括端點)、應(yīng)用程序還是用戶(人類或計算機)����。重要的是要記住這些系統(tǒng)不能防止損壞。它們限制了損害�����。 具有諷刺意味的是���,幾乎每一個網(wǎng)絡(luò)安全最佳實踐列表都包括一個最右邊的:嚴格的備份流程�����?���?煽康膫浞菔轻槍账鬈浖暮戏ǚ烙?�,但它昂貴����、耗時且投資回報率為零�。此外��,坦率地說�,備份幾乎總是在IT待辦事項列表的底部,它并不總是經(jīng)過測試�����,而且并不總是有效�����。 總而言之��,零日攻擊的問題并沒有得到解決�����,因為每種方法都依賴于對過去發(fā)生的事件的了解��,無論是已知的惡意軟件還是作為發(fā)現(xiàn)基準的已知“正?�!本W(wǎng)絡(luò)/應(yīng)用程序行為惡意軟件引起的異常�����。 理想的零日解決方案不依賴于過去已知的錯誤URL或模式�����。它將能夠攔截和評估每個端點的URL點擊�,隔離可疑的有效負載,并在通過它們之前實際查看它們在隔離中的行為�����。這樣的解決方案將像垃圾郵件/病毒攔截器一樣在殺傷鏈的最左側(cè)運行��,但在面對零日攻擊時它不會失敗�。 長期以來,傳統(tǒng)觀點認為不可能建立這樣的預(yù)防性解決方案���。然而��,現(xiàn)在���,鑒于云的力量,這種方法是可行的��。極其卓越的預(yù)防技術(shù)不會讓公司很快放棄其他安全解決方案����,但它會讓安全社區(qū)領(lǐng)先于不良行為者��,而不必迎頭趕上���。 后記:2011 年,洛克希德馬丁公司的分析師介紹了一個通常被不良行為者使用的七步情報驅(qū)動流程�,并將其稱為“網(wǎng)絡(luò)殺傷鏈”。對于那些可以回顧一下的人來說���,這七個階段是: 
●偵察:識別目標�����、收集數(shù)據(jù)(包括魚叉式網(wǎng)絡(luò)釣魚/社會工程攻擊研究)和評估結(jié)構(gòu)�。 ●武器化:識別漏洞����,創(chuàng)建/發(fā)現(xiàn)漏洞���,并開發(fā)一種感染目標的方式���。 ●交付:將漏洞利用轉(zhuǎn)移到目標設(shè)備上�����。 ● 漏洞利用:執(zhí)行漏洞利用代碼(通常分多個階段)�,并試圖不被漏洞防御系統(tǒng)檢測到����。 ●安裝:創(chuàng)建后門以便在網(wǎng)絡(luò)上持久存在。 ●命令和控制:啟用漏洞利用程序與其網(wǎng)絡(luò)之間的通信��,以便它可以接收指令�����。 ●行動:執(zhí)行攻擊的主要目的����,包括竊取金錢和知識產(chǎn)權(quán)、破壞競爭對手的穩(wěn)定等����。
|
