什么是零日攻|击

零日攻|击(zero-day attack)是一种利用计算机系统或软件应用程序中未知漏洞的网络攻|击。由于漏洞未知,因此有问题的系统或应用程序无法及时得到修补或修复,因此称为“零日”。

由于零日漏洞的严重级别通常较高,所以往往也具有很大的破坏性。



防范零日攻|击的基本措施

1、使用最新的安全补丁

软件供应商会经常发布补丁来修复已知漏洞,企业要确保使用的系统和软件是最新版本,来降低被零日攻|击的风险。

2、使用防病|毒软件

防病|毒软件可以检测和阻止已知恶意软件,防止不法分子使用恶意软件来利用漏洞的零日攻|击。

3、使用防火墙

防火墙可以根据预先制定的安全规则,监视和控制传入和传出的网络流量,阻止未经授权的访问,并防止使用网络漏洞的零日攻|击。

4、使用双因素身份验证 (2FA)

2FA要求提供除密码之外的其他信息(例如,发送到手机的代码),从而为账户增加额外的安全层。即使密码泄露,也可以有效防止未经授权而访问企业账户。

5、启用浏览器安全功能

Web浏览器本身具有内置的安全功能,例如恶意软件防护、网络钓鱼防护和Cookie 管理,所以企业要确保已启用了这些功能。

6、小心电子邮件和链接

零日攻|击通常使用网络钓鱼策略来引导用户点击恶意链接或下载恶意软件。企业要对员工进行意识宣贯,强调警惕来自未知来源的电子邮件和链接。

收藏!防范零日攻|击的基础措施与高级防御_事件响应

防范零日攻|击的高级防御措施

高级安全措施不仅减少发生零日攻|击的可能性,也降低发生时的潜在影响。同时,也确保敏感信息受到保护,且操作持续不中断。例如,补丁管理、事件响应和零信任安全。

1、补丁管理

补丁管理是识别、确定优先级和安装软件更新或补丁以解决计算机系统和应用程序中已知漏洞的过程。通过实施强大的补丁管理流程,企业可以通过确保所有系统和应用程序都使用最新的安全补丁来防止零日攻|击。

补丁管理是如何防止零日攻|击

第一步:识别漏洞

识别企业使用的系统和应用程序中的已知漏洞。企业可以通过定期扫描和评估来完成,也可以通过监控供应商网站和其他来源获取有关漏洞信息。

第二步:确定补丁优先级

根据漏洞的潜在影响和利用的可能性来确定安装补丁的优先级。

第三步:安装补丁

在所有使用的系统和应用程序上安装补丁。同时,取决于企业IT环境的规模和复杂性,这一步骤可以手动,也可以使用自动化工具和流程来完成。

第四步:测试和验证

测试和验证修补程序是否已正确安装并按预期运行,确保补丁有效解决需要修复的漏洞。


2、使用Windows Defender漏洞防护(Windows Defender Exploit Guard)

Windows Defender漏洞防护是Windows操作系统的一项安全功能,有助于防止零日攻|击和其他类型的网络威胁。它具备一套功能和控件,可用于防止、检测和响应Windows设备上的攻|击尝试。

Windows Defender漏洞防护的主要功能:

攻|击面减少(ASR)

通过阻止常见的攻|击技术(如内存操作和权限提升)来减少 Windows设备的攻|击面。同时,还可以控制某些应用和进程的访问权限(如网络和文件系统)。

受控文件夹访问

通过阻止可疑或恶意进程访问某些文件夹或文件,保护敏感数据免受未经授权的访问或修改。同时,还支持用户自定义受信任应用和进程的列表。

网络保护

通过阻止可疑的网络活动和连接,防止基于网络的攻|击。同时,还通过要求对所有网络流量进行身份验证,防止从网络对设备进行未经授权的访问。

漏洞保护

通过对程序应用一组预定义的缓解措施,防止软件和应用程序中的漏洞被利用。同时,还可以对其进行自定义,以将特定的缓解措施应用于特定的程序或流程。


3、零信任和可拓展威胁检测与响应(XDR)

零信任安全和XDR通过提供更全面、更主动的安全方法来防止零日攻|击。

在零信任安全场景下,所有的网络流量都是不受信任的,这就意味着在允许访问信息或系统前,所有流量都需接受仔细检查以防止攻|击者用未知漏洞访问网络。


零信任——“零界”零信任安全防护系统,是一款基于 “永不信任、持续验证”安全理念,采用S I M技术的架构体系,整合软件定义边界技术(SDP)、身份认证及访问管理控制技术(IAM)和微隔离技术(MSG)等技术的安全防护系统,确保政企业务访问过程身份安全、设备安全、链路安全和应用安全,为政企应用提供统一、安全、高效的访问入口,打造了"安全+可信+合规"三位一体政企网络的纵深安全防御体系。

XDR集成了来自多种安全技术和来源的数据,以提供更全面的组织安全状况视图。一方面可以帮助企业快速有效地检测和响应威胁,防止零日攻|击和其他新出现的威胁。另一方面,也可以识别其环境中的潜在漏洞和风险,防止零日攻|击的发生。


威胁检测——“网鉴”流量高级威胁检测系统,是新一代基于流量深度分析实现高级威胁感知产品。采用DPI检测技术、高效沙箱动态分析、丰富的特征库、二次研判模型、海量的威胁情报、机器学习等技术进行深度分析,发现网络入侵攻|击、恶意代码传播、远程控制及渗|透行为等攻|击和控制行为。


4、事件响应计划

通过遵循以下六个阶段,企业可以快速、高效地响应安全事件,防止事件传播并造成进一步的损害。从事件响应过程中吸取的经验教训也可以帮助企业识别和解决其安全状况中的任何漏洞或弱点,有助于防止未来的零日攻|击。

事件响应的六阶段

第一,准备

制定和实施响应安全事件的计划,包括建立角色和职责、定义过程以及确定适当的工具和资源。

第二,识别

在安全事件发生时进行检测和识别。通过监视网络流量、分析日志以及响应来自安全工具和设备的警报等多种方式完成。

第三,遏制

安全事件确定后,开始对其进行遏制,以防止其扩散或造成进一步损害。通过断开受影响的系统与网络的连接、关闭服务或实施其他措施来限制事件的影响。

第四,根除

消除安全事件的原因。通过删除恶意软件、修补漏洞或采取其他步骤来解决事件的根本原因。

第五,恢复

恢复受影响的系统或数据。通过还原备份、重建系统或实施其他措施以使组织恢复到正常运行状态。

第六,经验教训

审查事件响应流程并确定需要改进的领域,包括进行事后审查、分析数据和日志以及实施更改以防止将来发生类似事件。

结论

零日攻|击利用未知漏洞来访问敏感信息或中断运营,企业和个人都是一个严重的威胁,因此实施防御措施就变得至关重要。

参考来自:https://hackernoon.com/preventing-zero-day-attacks-advanced-best-practices

更多阅读

内容营销的邪恶双胞胎——虚假信息即服务

什么是可信数据?我们为什么需要它

勒索软件“野蛮”增长,看威胁感知如何为企业防御“减压”→