譯者 | 陳峻
公司專注于為企業(yè)提供成都網(wǎng)站設計��、網(wǎng)站制作�����、微信公眾號開發(fā)�、商城網(wǎng)站制作,小程序設計��,軟件按需設計等一站式互聯(lián)網(wǎng)企業(yè)服務����。憑借多年豐富的經(jīng)驗,我們會仔細了解各客戶的需求而做出多方面的分析��、設計����、整合,為客戶設計出具風格及創(chuàng)意性的商業(yè)解決方案�,創(chuàng)新互聯(lián)建站更提供一系列網(wǎng)站制作和網(wǎng)站推廣的服務。
審校 | 孫淑娟
零日攻擊(zero-day attack)一詞通常是指利用計算機系統(tǒng)或軟件應用中的未知漏洞���,實施網(wǎng)絡攻擊的行為�����。由于新發(fā)現(xiàn)的漏洞無法被提前知曉�,所以存在此類問題的系統(tǒng)或應用���,無法通過事先修補的方式����,去預防攻擊�����,因此被稱為“零日”�����。而且����,正是因為其難以預測和防御��,所以該類型的攻擊具有極強的危險性和破壞性��。
零日防護的基本措施
通常�����,我們可以采取如下一些基本措施來防止零日攻擊:
- 安裝最新的安全補丁�����,使得所有軟件和系統(tǒng)都保持最新:這是非常重要的��,畢竟軟件供應商會經(jīng)常發(fā)布各種補丁���,以修復新近發(fā)現(xiàn)的漏洞??梢姡ㄟ^讓系統(tǒng)和軟件保持最新�����,我們可以從根本上降低被零日攻擊利用的風險�。
- 使用防病毒軟件:防病毒軟件可以協(xié)助用戶檢測和阻止已知的惡意軟件����,并有針對性地防范那些使用惡意軟件���,去利用系統(tǒng)漏洞的零日攻擊。
- 使用防火墻:防火墻是一種網(wǎng)絡層面上的安全系統(tǒng)�。它能夠根據(jù)預先確定的安全監(jiān)控規(guī)則,控制傳入和傳出的網(wǎng)絡流量���。它可以協(xié)助用戶阻止未經(jīng)授權的訪問����,以及以此為攻擊手段的零日攻擊�����。
- 使用雙因素身份驗證(two-factor authentication���,2FA):2FA通過要求除了密碼之外��,提供額外的信息(例如:發(fā)送到手機上的驗證碼)��,從而為您的帳戶增加一層額外的安全保護�����。顯然��,即使在您的密碼被泄露的情況下�����,它仍然可以防止未經(jīng)授權者訪問您的帳戶����。
- 啟用瀏覽器的安全功能:如今,各種Web瀏覽器都在不同程度上內(nèi)置了安全功能����,例如:惡意軟件保護、網(wǎng)絡釣魚保護��、以及Cookie管理等���,可協(xié)助抵御不同程度的零日攻擊�����。因此���,請確保在您的瀏覽器設置中啟用此類功能����。
- 謹慎打開電子郵件和鏈接:零日攻擊通常會使用網(wǎng)絡釣魚策略���,來誘騙用戶點擊惡意鏈接,或是下載惡意軟件�。為此,我們需要警惕來源不明的電子郵件和鏈接��,避免點擊可疑的郵件鏈接或下載里面的附件����。
零日攻擊的高級防御措施
為了確保敏感信息得到合理的保護,正常的操作不會被中斷�,我們除了具備上文介紹的基本知識以外,還需要通過各種高級安全措施和實踐(例如:補丁管理�����、事件響應和零信任安全等)�����,來減少零日攻擊的可能性,或者是在確實被入侵的情況下�����,盡量減少由其帶來的潛在影響��。
實施補丁管理
補丁管理是一個持續(xù)的過程��。它涉及到識別軟件更新或補丁��,確定其優(yōu)先級���,并通過安裝補丁來解決計算機系統(tǒng)和應用的已知漏洞�。通過實施強大的補丁管理流程���,組織可以通過確保所有系統(tǒng)和應用都能夠得到最新的補丁保護��。下面�,我們來具體看看補丁管理是如何防范零日攻擊的:
- 識別漏洞:補丁管理首先需要識別組織所使用的系統(tǒng)和應用中有哪些已知的漏洞�����。我們可以通過定期掃描和評估的方式,以及通過監(jiān)控服務提供商的官網(wǎng)�、以及其他安全信息提供來源,以獲取有關新發(fā)現(xiàn)的漏洞信息來實現(xiàn)���。
- 確定補丁的優(yōu)先級:一旦發(fā)現(xiàn)新的漏洞�,補丁管理系統(tǒng)就需要根據(jù)補丁的潛在影響����、被利用的可能性,來確定應該首先安裝哪些補丁����。這將有助于組織集中有限的精力����,優(yōu)先處置那些最關鍵的漏洞。
- 安裝補?���。阂坏┐_定了補丁的優(yōu)先級,補丁管理系統(tǒng)就應當在所有適用的系統(tǒng)和應用上安裝對應的補丁���。整個過程既可以是手動完成�,也可以使用自動化的工具和流程來實現(xiàn),具體則取決于組織內(nèi)IT環(huán)境的規(guī)模和復雜性�����。
- 測試和驗證:補丁安裝完畢后���,補丁管理系統(tǒng)需要測試和驗證補丁是否已被正確地安裝�����,并能按照預期運行����。這有助于確保補丁能夠真實����、有效地修補它們所針對的漏洞。
使用Windows Defender漏洞防護
Windows Defender Exploit Guard是Windows操作系統(tǒng)的一項安全功能��,能夠有助于抵御零日攻擊���、以及其他類型的網(wǎng)絡威脅�。它包含了一組功能和控件�,可防范�����、檢測和響應針對Windows系統(tǒng)的嘗試與利用���。Windows Defender Exploit Guard的主要功能包括:
- 減少攻擊面(Attack Surface Reduction,ASR):此功能有助于通過阻止常見的利用Windows漏洞的技術(例如:內(nèi)存操作和權限升級等)�,來減少暴露的攻擊面。同時����,它還可以控制哪些應用或進程可以訪問某些系統(tǒng)資源,例如:具體哪個APP可以在使用中訪問網(wǎng)絡和文件系統(tǒng)���。
- 受控的文件夾訪問:此功能通過阻止可疑的惡意進程���,去訪問某些文件夾或文件��,進而保護敏感數(shù)據(jù)��,免遭未經(jīng)授權的讀取或修改�。此外,它還允許用戶通過列表的形式�����,自定義哪些受信任應用和進程可以訪問哪些文件夾。
- 網(wǎng)絡保護:此功能通過阻止各種可疑的網(wǎng)絡活動和連接���,來防止基于網(wǎng)絡的攻擊�����。通過要求對所有網(wǎng)絡流量進行身份驗證����,它從網(wǎng)絡層面上�����,防止了攻擊者對于某些資源的未經(jīng)授權的訪問�����。
- 漏洞利用保護:此功能通過對某些程序應用事先定義好一組緩解措施�,以及時“彌補”軟件和應用中新被發(fā)現(xiàn)的漏洞。當然���,我們也可以對其進行定制����,以將特定的緩解措施,應用于特定的程序或流程中�。
總體而言,Windows Defender Exploit Guard是一款強大的工具�����,可幫助我們抵御Windows系統(tǒng)所面臨的零日攻擊�����、以及其他類型的網(wǎng)絡威脅�。因此,保持此功能處于啟用狀態(tài)���,并保持其持續(xù)更新是非常重要的�。它在某種程度上起到了系統(tǒng)“守門員”的作用����。
零信任和XDR
零信任安全和XDR(可拓展威脅檢測與響應��,Extended Detection and Response)可以通過提供更為全面和主動的安全方法���,來阻止零日攻擊���。
零信任安全模型假定:無論來自何處����,所有網(wǎng)絡流量都應當被視為不受信任的�。這就意味著在允許被訪問敏感信息或系統(tǒng)之前,所有流量都需要經(jīng)過仔細的審查�,以防止攻擊者利用認證與授權上的漏洞,去訪問目標網(wǎng)絡�����。
而XDR集成了來自多種安全技術和來源的數(shù)據(jù)�,可提供更全面的組織安全態(tài)勢視圖。這使得安全團隊能夠更快�����、更有效地檢測和響應新出現(xiàn)的威脅����、以及零日攻擊形式。此外�����,XDR還可以幫助組織識別其現(xiàn)有環(huán)境中的潛在漏洞和風險,進而前攝性地防止零日攻擊的發(fā)生�����。
利用下一代防病毒
下一代防病毒(Next-Generation Antivirus����,NGAV)是一種防病毒軟件,它使用先進的技術和處理能力���,來提供針對惡意軟件���、以及其他安全威脅的更有效的保護。
與主要依靠簽名檢測來識別已知威脅的傳統(tǒng)防病毒軟件不同���,NGAV會使用多種方法�,來檢測和阻止惡意軟件����。例如,它會用到基于行為的檢測、機器學習����、以及啟發(fā)式方法�����。這些都使得NGAV能夠針對更廣泛的威脅(包括零日攻擊����、以及其他新出現(xiàn)的威脅)提供更全面、更有效的保護��。
準備好事件響應計劃
國外著名安全意識培訓機構SANS曾提出了經(jīng)典的事件響應六大階段�����。它是一個可用于組織和協(xié)調(diào)安全事件響應的框架����,我們可以用來應對由零日攻擊給組織造成的安全事件。它每個階段的具體內(nèi)容包括:
1. 準備:此階段主要是制定待實施的安全事件響應計劃�,包括:建立角色和職責,定義流程�����,以及指定適當?shù)墓ぞ吆唾Y源。
2. 識別:此階段主要是檢測和識別正在發(fā)生的安全事件�����。我們可以通過諸如:監(jiān)控網(wǎng)絡流量����,分析日志,以及響應來自安全工具與設備的警報等多種方式來實現(xiàn)�����。
3. 遏制:一旦確認了安全事件����,下一步就應該通過遏制,以防止其傳播或造成進一步的損害�。此階段主要涉及到:斷開受影響的系統(tǒng)與網(wǎng)絡連接,關閉服務�����,或?qū)嵤┢渌焖俅胧?�,來及時限制事件的影響。
4. 根除:該階段需要消除安全事件的根本原因���。此處包括:刪除惡意軟件���,修補暴露的漏洞���,以及采取根本原因分析法(RCA)��,來挖掘事件背后的原因���。
5. 恢復:阻止了事件惡化后,我們在此階段就需要恢復所有受影響的系統(tǒng)或數(shù)據(jù)�。其中包括:恢復備份,重建系統(tǒng)�����,或通過實施多部門協(xié)作�����,讓組織盡快恢復到正常運行的狀態(tài)����。
6. 經(jīng)驗教訓:最后�、也是最重要的是審查我們在事件響應過程中�����,需要改進的地方�����。該階段主要包括:開展事后審查��,分析數(shù)據(jù)和日志���,以及按需實施調(diào)整與更改�,以防止類似事件的再次發(fā)生���。
通過遵循上述六個階段���,組織可以更快、更有效地響應各類安全事件��,以避免事件的蔓延��,或造成進一步的損害。值得一提的是����,從事件響應過程中吸取的教訓,可以幫助組織識別和整改其現(xiàn)有環(huán)境中的各類漏洞或弱點���,進而防范可能出現(xiàn)的零日攻擊��。
小結
綜上所述,由于零日攻擊利用的是未知的漏洞�,獲取的是敏感的信息,甚至會造成運營的中斷����,因此它對于組織和個人所構成的威脅是相當嚴重的。正因為如此�,防范此類攻擊對于現(xiàn)有的大型系統(tǒng)、以及個人終端都是至關重要的���。
在上文中����,我們介紹了針對零日攻擊的基本與高級防御措施���,其中深入討論了實施補丁管理����、使用Windows Defender、零信任�����、XDR�����、NGAV���、以及事件響應計劃����。希望這些有助于貴企業(yè)更好地免受零日攻擊��,并能保持業(yè)務的持續(xù)穩(wěn)定運營��。
當前標題:防止零日攻擊的高級優(yōu)秀實踐
當前鏈接:
http://uogjgqi.cn/article/dpiejjo.html
