信息安全的咒语之一是保持系统的修补和更新。当供应商从第三方研究人员或他们自己的发现中了解其产品中的新漏洞时,他们会创建修补程序,补丁,服务包和安全更新来修复漏洞。
恶意程序和病毒编写者的圣杯是“零日漏洞”。零日攻击是指在漏洞被供应商了解之前或之后创建漏洞利用的时间。通过创建利用漏洞的病毒或蠕虫,供应商尚未意识到并且目前没有可用的补丁,攻击者可能会造成最大的破坏。
一些漏洞被媒体称为零日漏洞利用漏洞,但问题是零日由哪个日历?通常,供应商和关键技术提供商在创建漏洞利用之前或漏洞被公开披露之前数周甚至数月都会发现漏洞。
一个明显的例子是2002年2月宣布的SNMP(简单网络管理协议)漏洞。芬兰奥卢大学的学生在2001年夏天实际发现了这个缺陷,同时开发了PROTOS项目,这是一个用于测试SNMPv1的测试套件。 (第1版)。
SNMP是设备之间相互通信的简单协议。它用于设备到设备的通信以及管理员对网络设备的远程监控和配置。 SNMP存在于网络硬件(路由器,交换机,集线器等),打印机,复印机,传真机,高端计算机化医疗设备以及几乎所有操作系统中。
在发现他们可能使用他们的PROTOS测试套件崩溃或禁用设备后,奥卢大学的学生谨慎地通知了这些权力以及向供应商发出的消息。每个人都坐在那些信息上并保密,直到它以某种方式泄露给世界,PROTOS测试套件本身(可以自由和公开获得)可以用作漏洞代码来关闭SNMP设备。只有这样,供应商和全世界才争先恐后地创建并发布补丁以解决这一问题。
世界恐慌,它被视为零日攻击,事实上从最初发现漏洞开始已经超过6个月。同样,微软也会发现新的漏洞,或者定期向其产品中的新漏洞发出警告。其中一些是解释问题,微软可能会也可能不会认为它实际上是一个漏洞或漏洞。但是,即使对于他们认为存在漏洞的许多漏洞,在微软发布解决该问题的安全更新或服务包之前,可能还需要数周或数月的时间。
一个安全组织(PivX Solutions)过去常常维护Microsoft Internet Explorer漏洞的运行列表,微软已经知道这些漏洞,但尚未修补。黑客经常光顾的其他网站维护着已知漏洞的列表,黑客和恶意代码开发人员也在这些网站上交换信息。
这并不是说零日漏洞利用不存在。不幸的是,经常发生这样的事情,即供应商或世界第一次意识到漏洞是在进行法医调查以了解系统如何被破坏或分析已经在野外传播的病毒时了解它是如何工作的。
供应商是否在一年前了解了这个漏洞,或者今天早上发现了漏洞,如果在漏洞被公开时存在漏洞利用代码,那么它就是零日攻击 您的 日历。
您可以做的最好的事情是防止零日攻击,首先要遵循良好的安全策略。通过安装和保持您的防病毒软件是最新的,阻止可能有害的电子邮件的文件附件并保持系统修补您已经知道的漏洞可以保护您的系统或网络免受99%的影响。
防范当前未知威胁的最佳措施之一是使用硬件或软件(或两者)防火墙。您还可以在防病毒软件中启用启发式扫描(一种用于尝试阻止尚未了解的病毒或蠕虫的技术)。通过使用硬件防火墙阻止不必要的流量,使用软件防火墙阻止对系统资源和服务的访问,或使用您的防病毒软件来帮助检测异常行为,您可以更好地保护自己免受可怕的零日攻击。
