重大軟件漏洞是不可避免的生活現(xiàn)實(shí)，看各大軟件公司每年放出的補(bǔ)丁數(shù)據(jù)就知道了：微軟今年每月修復(fù)55到110個(gè)漏洞，其中7%到17%的漏洞是關(guān)鍵漏洞。

5月漏洞數(shù)量最少，總數(shù)55個(gè)漏洞當(dāng)中僅4個(gè)評(píng)級(jí)為關(guān)鍵漏洞。但問題在于，這些關(guān)鍵漏洞是伴隨我們多年的老面孔了，比如遠(yuǎn)程代碼執(zhí)行漏洞和提權(quán)漏洞。

經(jīng)常修補(bǔ)重大漏洞的軟件巨頭不止微軟一家，蘋果、Adobe、谷歌、思科等業(yè)界翹楚也每月推出安全更新。

??

新與舊是相對(duì)的

鑒于如此之多的應(yīng)用中都存在重大漏洞，那我們還有沒有希望迎來安全的未來?答案當(dāng)然是肯定的，但并不意味著通往安全的路上沒有困難和挑戰(zhàn)。

經(jīng)年奮戰(zhàn)在防御第一線的安全從業(yè)人員或許跟漏洞是老相識(shí)了，但對(duì)手的戰(zhàn)術(shù)不停在變。

將合法資源用于邪惡目的的做法并不罕見，而我們?cè)跇?gòu)建應(yīng)用時(shí)無法為此類濫用規(guī)劃好萬全之策。

權(quán)限痛點(diǎn)

80%的安全事件涉及特權(quán)賬戶，提權(quán)類漏洞利用只會(huì)愈演愈烈。勒索軟件運(yùn)營(yíng)者和其他惡意黑客常會(huì)在系統(tǒng)上利用提權(quán)漏洞，從而合法化其操作，成功訪問敏感數(shù)據(jù)。

如果信息竊賊擁有跟當(dāng)前用戶一樣的權(quán)限，滲漏敏感數(shù)據(jù)的機(jī)會(huì)就顯著增加了。同時(shí)，管理員權(quán)限幾乎可以保證入手極具價(jià)值的數(shù)據(jù)。

除了保持軟件更新，零信任倡議和數(shù)據(jù)流監(jiān)測(cè)在防御提權(quán)漏洞方面也十分關(guān)鍵。至少，零信任意味著應(yīng)該應(yīng)用最小權(quán)限原則，并且任何地方都要應(yīng)用多因素身份驗(yàn)證。

基本上，零信任可以確保不需要訪問系統(tǒng)或文件的用戶就沒有這樣的權(quán)限，而確實(shí)需要此類權(quán)限的用戶必須證明自己是所聲稱的身份。數(shù)據(jù)流監(jiān)測(cè)也有助于早期捕獲數(shù)據(jù)泄露事件，限制被盜數(shù)據(jù)總量。

遠(yuǎn)程控制

遠(yuǎn)程代碼執(zhí)行(RCE)短期內(nèi)都不會(huì)消失。此類攻擊占據(jù)2020年所有攻擊的27%，遠(yuǎn)高于上一年的7%。只要能夠找到在你系統(tǒng)上遠(yuǎn)程執(zhí)行任意代碼的方法，攻擊者能獲取的控制權(quán)就遠(yuǎn)超僅僅讓用戶無意中運(yùn)行帶有預(yù)定義功能的惡意軟件。

如果攻擊者能遠(yuǎn)程執(zhí)行任意代碼，他們就具有了在系統(tǒng)內(nèi)或網(wǎng)絡(luò)上四處逡巡的能力，能夠根據(jù)自己所找的的東西更改攻擊目標(biāo)和戰(zhàn)術(shù)。

行為監(jiān)測(cè)是檢測(cè)系統(tǒng)上RCE的最佳方式之一。如果應(yīng)用程序開始運(yùn)行不屬于其正常行為的命令和進(jìn)程，那你就可以準(zhǔn)備早點(diǎn)兒阻止攻擊了。RCE如此普遍的事實(shí)也意味著，用戶應(yīng)該保持安全補(bǔ)丁更新，從而將諸多此類攻擊防患于未然。

誰還需要惡意軟件?

如今，備受歡迎的攻擊方式是利用合法進(jìn)程和可信應(yīng)用來實(shí)現(xiàn)惡意目的。這種無文件，或者不需落地的攻擊，因?yàn)椴挥冒惭b惡意軟件而非常難以檢測(cè)。

PowerShell是最容易遭遇此類利用方式的常見應(yīng)用之一。因?yàn)镻owerShell本來就是用于編寫腳本和執(zhí)行系統(tǒng)命令的強(qiáng)大應(yīng)用。

無文件攻擊的例子也證明了監(jiān)視應(yīng)用和進(jìn)程的行為是快速阻止攻擊的關(guān)鍵。于是，PowerShell真的需要禁用安全功能嗎?

大多數(shù)情況下，未必。這種行為是可以被監(jiān)測(cè)到的，即使行為出自PowerShell這樣的可信應(yīng)用。監(jiān)測(cè)與高級(jí)機(jī)器學(xué)習(xí)和AI相結(jié)合，就可以提取網(wǎng)絡(luò)上正常行為的特征，對(duì)不正常行為實(shí)施自動(dòng)化響應(yīng)。

繼續(xù)前行

盡管常見攻擊類型不會(huì)改變太多，但應(yīng)用或代碼的任何改動(dòng)卻可能引入新的漏洞。這并不意味著我們應(yīng)該放棄抵抗而讓對(duì)手長(zhǎng)驅(qū)直入，而是意味著現(xiàn)在就是加倍努力挫敗對(duì)手的好時(shí)機(jī)。

我們需要實(shí)現(xiàn)補(bǔ)丁管理策略，監(jiān)測(cè)網(wǎng)絡(luò)，采用行為檢測(cè)，并避免自滿。主流軟件供應(yīng)商定期修復(fù)重大漏洞的事實(shí)實(shí)際上是件好事，既然攻擊者都不放棄作亂，那我們也不應(yīng)該放棄防御。