零日脆弱性是指在軟體製造商有機會發布修補程式或廣泛部署修補程式之前就被廣泛利用的漏洞。與補丁管理相關的延遲留下了一個視窗(稱為“零日”),在該視窗中脆弱性可以在無法獲得適當防禦的組織中被利用。
零時差惡意軟體是利用這些零日脆弱性的惡意軟體。通常,漏洞開發人員可以比開發和部署相應修補程式的速度更快地發動針對脆弱性的攻擊。這意味著利用脆弱性的惡意軟體可以在組織遏制威脅之前廣泛傳播。
為了使零日惡意軟體存在,零日脆弱性也需要存在。不幸的是,這些類型的脆弱性非常常見。
最近的一個例子是 Microsoft Exchange 中的一組脆弱性,該公司於 2021 年 3 月修補了該漏洞。這些脆弱性可被利用來允許攻擊者在易受攻擊的系統上運行惡意程式碼 - 遠端程式碼執行 (RCE) 脆弱性 - 這使得它們非常適合零日惡意軟體。然而,儘管脆弱性具有重大的潛在影響,但修補速度卻很慢。
這導致創建了許多不同的利用脆弱性的零日惡意軟體變體。這些零時差惡意軟體變種之一稱為Hafnium 。Hafnium 是一種資訊竊取惡意軟體,它利用 Microsoft Exchange 漏洞來存取易受攻擊的 Exchange 伺服器。從那裡,它提高其權限,並使用產生的訪問權限來竊取電子郵件和用戶憑據。
零時差惡意軟體是一個重大的網路安全挑戰,因為許多傳統的網路安全策略無法防範它。由於零時差惡意軟體是在發現特定脆弱性後不久發布的,並且在對它有很多了解或開發補丁之前,傳統的防禦措施可能很難檢測和防禦它。
一些網路安全策略是基於對相關漏洞或漏洞的了解,這顯然不適用於零時差威脅。因此,緩解這些威脅的某些方法無效,例如:
網絡安全始終是網絡防禦者和漏洞開發人員之間的競爭。 在零時差脆弱性和惡意軟體的情況下,如果組織依賴傳統的威脅管理方法,那麼漏洞開發人員將具有顯著的優勢。
傳統的網路安全策略對零時差惡意軟體無效,嚴重依賴偵測。但是,很難準確地檢測並對您不知道存在的威脅進行響應。
管理零日威脅的更好方法是使用預防措施。 Check Point 的預防優先方法是有效防範未知威脅的唯一方法,包含以下功能:
Check Point 對人工智慧 (AI) 的使用對其以預防為重點的安全策略至關重要。要了解有關人工智慧如何幫助防止網路攻擊的更多信息,請查看此白皮書。
反映意見