零日漏洞在合法的漏洞赏金计划中受到高度重视,并获得了高达 200 万美元的赏金。由于不存在补丁或修复程序,即使在地下市场和暗网中,0-day 攻击/利用也受到高度重视。它们在黑市被发现后数小时内被卖给出价最高的人。
那么为何不!零日漏洞为威胁参与者提供了一个不受保护的网关,以创建漏洞并使用它们来攻击组织。由于安全防御要么无效要么没有到位,攻击成功的概率很高。在本文中,我们将深入探讨 Web 应用程序中的零日漏洞(相对于系统和网络)的含义,以及防范 0 日攻击所需的一般安全性。
零日漏洞、利用和攻击
零日漏洞
零日漏洞是相关方(用户、组织、供应商和安全团队)以前不知道的软件、硬件、固件或代码中的差距/错误配置/安全弱点/缺陷/错误。只有当成功的零日攻击发生或被安全研究人员发现时,它们才会为开发人员和组织所知。
零日漏洞
零日漏洞利用是威胁参与者利用 0 日漏洞开发的代码和/或方法。威胁行为者可能会战略性地等待最佳部署时间,而不是立即进行攻击。这是在组织/供应商意识到其存在之前和之日的零日漏洞利用。从这一天零开始,组织/供应商开始着手修复漏洞。
零日攻击
当威胁参与者利用零日漏洞时,结果就是零日攻击。这通常是当组织和公众认识到漏洞时。典型的攻击媒介是 Web 浏览器、电子邮件附件、漏洞利用工具包、网络钓鱼/鱼叉式网络钓鱼电子邮件、0-day 恶意软件等。
一般网络安全与 Web 应用程序安全的零日
网络安全中的零日
网络安全(网络安全、端点安全、系统安全等)中的零日攻击尤其危险。这就是为什么。如果在固件中发现零日漏洞,物理设备可能会受到损害。除了禁止 USB 驱动器、阻止攻击向量和设置防火墙,直到供应商承认并修复问题,组织无法采取太多措施来防止攻击。一个例子是 Stuxnet 病毒,它以用于制造目的的计算机为目标。这种计算机蠕虫通过破坏浓缩工厂中使用的机器来破坏伊朗的核计划。
如果在您的操作系统或任何其他软件中发现零日漏洞,您的系统/浏览器/IT 基础设施仍然暴露给攻击者,直到软件供应商发现漏洞、开发补丁并在软件更新中发布它。供应商发现和解决问题的时间越长,您的系统暴露时间越长,附加的风险就越大。
例如,攻击者在 2011 年利用 Adobe Flash Player 中未修补的漏洞攻击安全公司 RSA。攻击者向一小群员工发送主题为“2011 招聘计划”的网络钓鱼电子邮件,其中包含 Excel 电子表格附件。附件中包含的恶意软件利用零日 Flash 漏洞安装后门——Poison Ivy 远程管理工具——来控制计算机。使用后门,攻击者四处窥探特权信息,然后将其导出。他们窃取了与公司 SecurID 双因素身份验证产品相关的敏感信息,并损害了其有效性。
Web 应用程序安全中的零日
Web 应用程序安全中的零日漏洞通常出现在新部署的代码中。在内部开发和定制的业务应用程序和系统中,这种可能性更高。任何人都无法事先知道或报告该漏洞。在后一种情况下,报告安全漏洞的可能性较低,因为单个组织正在使用该应用程序。
如果零日漏洞存在于新部署的代码或定制的内部应用程序中,则没有外部供应商会提供补丁。发现和修复漏洞(在攻击者之前)的责任在于组织及其 IT 安全团队。他们需要在 SDLC 阶段整合配备 AppTrana 等自动渗透测试功能的智能扫描工具,以识别安全漏洞和漏洞并尽早修复它们。
也有例外。组织可以在构建应用程序时使用流行的 Web 应用程序或开源库、主题和框架、第三方组件等。在这种情况下,供应商将不得不修补漏洞。
但是,如果它是遗留系统、终止支持产品或停业供应商怎么办?在这种情况下,Web 应用程序安全中的零日保护如何工作?在这种情况下,虚拟修补会派上用场。它为不再发布补丁或部署成本太高的应用程序和 IT 基础设施(例如物联网设备)提供保护。
前进的道路
鉴于其性质,基于现已过时的签名分析模型的自动扫描工具和扫描器不可能发现零日漏洞。为了有效地发现和保护 Web 应用程序中的零日攻击和利用,需要一个现代的、托管的和直观的 Web 应用程序防火墙 (WAF),例如 AppTrana。