譯者 | 陳峻

審校 | 孫淑娟

零日攻擊（zero-day attack）一詞通常是指利用計算機系統(tǒng)或軟件應用中的未知漏洞，實施網(wǎng)絡攻擊的行為。由于新發(fā)現(xiàn)的漏洞無法被提前知曉，所以存在此類問題的系統(tǒng)或應用，無法通過事先修補的方式，去預防攻擊，因此被稱為“零日”。而且，正是因為其難以預測和防御，所以該類型的攻擊具有極強的危險性和破壞性。

零日防護的基本措施

通常，我們可以采取如下一些基本措施來防止零日攻擊：

• 安裝最新的安全補丁，使得所有軟件和系統(tǒng)都保持最新：這是非常重要的，畢竟軟件供應商會經(jīng)常發(fā)布各種補丁，以修復新近發(fā)現(xiàn)的漏洞?？梢?，通過讓系統(tǒng)和軟件保持最新，我們可以從根本上降低被零日攻擊利用的風險。
• 使用防病毒軟件：防病毒軟件可以協(xié)助用戶檢測和阻止已知的惡意軟件，并有針對性地防范那些使用惡意軟件，去利用系統(tǒng)漏洞的零日攻擊。
• 使用防火墻：防火墻是一種網(wǎng)絡層面上的安全系統(tǒng)。它能夠根據(jù)預先確定的安全監(jiān)控規(guī)則，控制傳入和傳出的網(wǎng)絡流量。它可以協(xié)助用戶阻止未經(jīng)授權的訪問，以及以此為攻擊手段的零日攻擊。
• 使用雙因素身份驗證（two-factor authentication，2FA）：2FA通過要求除了密碼之外，提供額外的信息（例如：發(fā)送到手機上的驗證碼），從而為您的帳戶增加一層額外的安全保護。顯然，即使在您的密碼被泄露的情況下，它仍然可以防止未經(jīng)授權者訪問您的帳戶。
• 啟用瀏覽器的安全功能：如今，各種Web瀏覽器都在不同程度上內(nèi)置了安全功能，例如：惡意軟件保護、網(wǎng)絡釣魚保護、以及Cookie管理等，可協(xié)助抵御不同程度的零日攻擊。因此，請確保在您的瀏覽器設置中啟用此類功能。
• 謹慎打開電子郵件和鏈接：零日攻擊通常會使用網(wǎng)絡釣魚策略，來誘騙用戶點擊惡意鏈接，或是下載惡意軟件。為此，我們需要警惕來源不明的電子郵件和鏈接，避免點擊可疑的郵件鏈接或下載里面的附件。

零日攻擊的高級防御措施

為了確保敏感信息得到合理的保護，正常的操作不會被中斷，我們除了具備上文介紹的基本知識以外，還需要通過各種高級安全措施和實踐（例如：補丁管理、事件響應和零信任安全等），來減少零日攻擊的可能性，或者是在確實被入侵的情況下，盡量減少由其帶來的潛在影響。

實施補丁管理

補丁管理是一個持續(xù)的過程。它涉及到識別軟件更新或補丁，確定其優(yōu)先級，并通過安裝補丁來解決計算機系統(tǒng)和應用的已知漏洞。通過實施強大的補丁管理流程，組織可以通過確保所有系統(tǒng)和應用都能夠得到最新的補丁保護。下面，我們來具體看看補丁管理是如何防范零日攻擊的：

• 識別漏洞：補丁管理首先需要識別組織所使用的系統(tǒng)和應用中有哪些已知的漏洞。我們可以通過定期掃描和評估的方式，以及通過監(jiān)控服務提供商的官網(wǎng)、以及其他安全信息提供來源，以獲取有關新發(fā)現(xiàn)的漏洞信息來實現(xiàn)。
• 確定補丁的優(yōu)先級：一旦發(fā)現(xiàn)新的漏洞，補丁管理系統(tǒng)就需要根據(jù)補丁的潛在影響、被利用的可能性，來確定應該首先安裝哪些補丁。這將有助于組織集中有限的精力，優(yōu)先處置那些最關鍵的漏洞。
• 安裝補丁：一旦確定了補丁的優(yōu)先級，補丁管理系統(tǒng)就應當在所有適用的系統(tǒng)和應用上安裝對應的補丁。整個過程既可以是手動完成，也可以使用自動化的工具和流程來實現(xiàn)，具體則取決于組織內(nèi)IT環(huán)境的規(guī)模和復雜性。
• 測試和驗證：補丁安裝完畢后，補丁管理系統(tǒng)需要測試和驗證補丁是否已被正確地安裝，并能按照預期運行。這有助于確保補丁能夠真實、有效地修補它們所針對的漏洞。

使用Windows Defender漏洞防護

Windows Defender Exploit Guard是Windows操作系統(tǒng)的一項安全功能，能夠有助于抵御零日攻擊、以及其他類型的網(wǎng)絡威脅。它包含了一組功能和控件，可防范、檢測和響應針對Windows系統(tǒng)的嘗試與利用。Windows Defender Exploit Guard的主要功能包括：

• 減少攻擊面（Attack Surface Reduction，ASR）：此功能有助于通過阻止常見的利用Windows漏洞的技術（例如：內(nèi)存操作和權限升級等），來減少暴露的攻擊面。同時，它還可以控制哪些應用或進程可以訪問某些系統(tǒng)資源，例如：具體哪個APP可以在使用中訪問網(wǎng)絡和文件系統(tǒng)。
• 受控的文件夾訪問：此功能通過阻止可疑的惡意進程，去訪問某些文件夾或文件，進而保護敏感數(shù)據(jù)，免遭未經(jīng)授權的讀取或修改。此外，它還允許用戶通過列表的形式，自定義哪些受信任應用和進程可以訪問哪些文件夾。
• 網(wǎng)絡保護：此功能通過阻止各種可疑的網(wǎng)絡活動和連接，來防止基于網(wǎng)絡的攻擊。通過要求對所有網(wǎng)絡流量進行身份驗證，它從網(wǎng)絡層面上，防止了攻擊者對于某些資源的未經(jīng)授權的訪問。
• 漏洞利用保護：此功能通過對某些程序應用事先定義好一組緩解措施，以及時“彌補”軟件和應用中新被發(fā)現(xiàn)的漏洞。當然，我們也可以對其進行定制，以將特定的緩解措施，應用于特定的程序或流程中。

總體而言，Windows Defender Exploit Guard是一款強大的工具，可幫助我們抵御Windows系統(tǒng)所面臨的零日攻擊、以及其他類型的網(wǎng)絡威脅。因此，保持此功能處于啟用狀態(tài)，并保持其持續(xù)更新是非常重要的。它在某種程度上起到了系統(tǒng)“守門員”的作用。

零信任和XDR

零信任安全和XDR（可拓展威脅檢測與響應，Extended Detection and Response）可以通過提供更為全面和主動的安全方法，來阻止零日攻擊。

零信任安全模型假定：無論來自何處，所有網(wǎng)絡流量都應當被視為不受信任的。這就意味著在允許被訪問敏感信息或系統(tǒng)之前，所有流量都需要經(jīng)過仔細的審查，以防止攻擊者利用認證與授權上的漏洞，去訪問目標網(wǎng)絡。

而XDR集成了來自多種安全技術和來源的數(shù)據(jù)，可提供更全面的組織安全態(tài)勢視圖。這使得安全團隊能夠更快、更有效地檢測和響應新出現(xiàn)的威脅、以及零日攻擊形式。此外，XDR還可以幫助組織識別其現(xiàn)有環(huán)境中的潛在漏洞和風險，進而前攝性地防止零日攻擊的發(fā)生。

利用下一代防病毒

下一代防病毒（Next-Generation Antivirus，NGAV）是一種防病毒軟件，它使用先進的技術和處理能力，來提供針對惡意軟件、以及其他安全威脅的更有效的保護。

與主要依靠簽名檢測來識別已知威脅的傳統(tǒng)防病毒軟件不同，NGAV會使用多種方法，來檢測和阻止惡意軟件。例如，它會用到基于行為的檢測、機器學習、以及啟發(fā)式方法。這些都使得NGAV能夠針對更廣泛的威脅（包括零日攻擊、以及其他新出現(xiàn)的威脅）提供更全面、更有效的保護。

準備好事件響應計劃

國外著名安全意識培訓機構SANS曾提出了經(jīng)典的事件響應六大階段。它是一個可用于組織和協(xié)調(diào)安全事件響應的框架，我們可以用來應對由零日攻擊給組織造成的安全事件。它每個階段的具體內(nèi)容包括：

1. 準備：此階段主要是制定待實施的安全事件響應計劃，包括：建立角色和職責，定義流程，以及指定適當?shù)墓ぞ吆唾Y源。

2. 識別：此階段主要是檢測和識別正在發(fā)生的安全事件。我們可以通過諸如：監(jiān)控網(wǎng)絡流量，分析日志，以及響應來自安全工具與設備的警報等多種方式來實現(xiàn)。

3. 遏制：一旦確認了安全事件，下一步就應該通過遏制，以防止其傳播或造成進一步的損害。此階段主要涉及到：斷開受影響的系統(tǒng)與網(wǎng)絡連接，關閉服務，或實施其他快速措施，來及時限制事件的影響。

4. 根除：該階段需要消除安全事件的根本原因。此處包括：刪除惡意軟件，修補暴露的漏洞，以及采取根本原因分析法（RCA），來挖掘事件背后的原因。

5. 恢復：阻止了事件惡化后，我們在此階段就需要恢復所有受影響的系統(tǒng)或數(shù)據(jù)。其中包括：恢復備份，重建系統(tǒng)，或通過實施多部門協(xié)作，讓組織盡快恢復到正常運行的狀態(tài)。

6. 經(jīng)驗教訓：最后、也是最重要的是審查我們在事件響應過程中，需要改進的地方。該階段主要包括：開展事后審查，分析數(shù)據(jù)和日志，以及按需實施調(diào)整與更改，以防止類似事件的再次發(fā)生。

通過遵循上述六個階段，組織可以更快、更有效地響應各類安全事件，以避免事件的蔓延，或造成進一步的損害。值得一提的是，從事件響應過程中吸取的教訓，可以幫助組織識別和整改其現(xiàn)有環(huán)境中的各類漏洞或弱點，進而防范可能出現(xiàn)的零日攻擊。

小結

綜上所述，由于零日攻擊利用的是未知的漏洞，獲取的是敏感的信息，甚至會造成運營的中斷，因此它對于組織和個人所構成的威脅是相當嚴重的。正因為如此，防范此類攻擊對于現(xiàn)有的大型系統(tǒng)、以及個人終端都是至關重要的。

在上文中，我們介紹了針對零日攻擊的基本與高級防御措施，其中深入討論了實施補丁管理、使用Windows Defender、零信任、XDR、NGAV、以及事件響應計劃。希望這些有助于貴企業(yè)更好地免受零日攻擊，并能保持業(yè)務的持續(xù)穩(wěn)定運營。

譯者介紹

陳峻 （Julian Chen），51CTO社區(qū)編輯，具有十多年的IT項目實施經(jīng)驗，善于對內(nèi)外部資源與風險實施管控，專注傳播網(wǎng)絡與信息安全知識與經(jīng)驗。

原文標題：??Preventing Zero Day Attacks: Advanced Best Practices??，作者：Gilad David Maayan