2023年7月8日发(作者：)

什么是0day？零⽇漏洞介绍及防范0day/零⽇漏洞，⼀个独特的⿊客⽂化……这个词从来没有过权威解释，百度百科也仅仅是解释了它在⽹络安全⽅⾯的含义，并没有给出这个词的来由，以及⽂化出处。摘录⼀点百度百科的资料：零⽇漏洞“零⽇漏洞”(zero-day)⼜叫零时差攻击，是指被发现后⽴即被恶意利⽤的安全漏洞。通俗地讲，即安全补丁与瑕疵曝光的同⼀⽇内，相关的恶意程序就出现。这种攻击往往具有很⼤的突发性与破坏性。攻击威胁虽然还没有出现⼤量的“零⽇漏洞”攻击，但其威胁⽇益增长，证据如下：⿊客更加善于在发现安全漏洞不久后利⽤它们。过去，安全漏洞被利⽤⼀般需要⼏个⽉时间。最近，发现与利⽤之间的时间间隔已经减少到了数天。利⽤漏洞的攻击被设计为迅速传播，感染数量越来越多的系统。攻击由之前被动式的、传播缓慢的⽂件和宏病毒演化为利⽤⼏天或⼏⼩时传播的更加主动的、⾃我传播的电⼦邮件蠕⾍和混合威胁。⼈们掌握的安全漏洞知识越来越多，就有越来越多的漏洞被发现和利⽤。⼀般使⽤防⽕墙、⼊侵检测系统和防病毒软件来保护关键业务IT基础设施。这些系统提供了良好的第⼀级保护，但是尽管安全⼈员尽了最⼤的努⼒，他们仍不能免遭受零⽇漏洞攻击。开源代码导致零⽇漏洞复现率倍增⽹络安全风投公司曾发布过⼀份《零⽇漏洞报告》，为CISO和IT安全团队提供零⽇漏洞趋势、统计数据、最佳实践和资源。报告凸显了⼀些预警性统计数据，包括：• 应⽤攻击界⾯每年增加1110亿⾏软件代码• 任务关键App中的开源代码将占99%麦克·卡顿，Digital Defense 研发副总裁，称：“从安全⾓度看，开源代码的⼤量使⽤是有问题的。越来越多的公司不断投⼊开源代码怀抱，作为削减营销周期，尽快将产品推向市场的⼀种⼿段。”由于⼀块代码可作为软件组件应⽤到多种设备中，这种组件中发现的零⽇漏洞复现率就可能倍增。你通常会在各种各样的设备和平台上发现⼀连串的漏洞。推向市场的压⼒，催⽣了在企业产品中集成进更多库的新趋势，但这每⼀个库，都代表着潜在的漏洞风险。数据泄密事件之所以急剧增长，零⽇漏洞起关键作⽤？据韦⾥逊公司（Verizon）最近发布的《数据泄露调查报告》显⽰，真相实际上要⽐这有意思得多。报告指出，依据韦⾥逊的数据样本，"没有哪⼀起得到证实的⼊侵事件利⽤了某个可以打上补丁的漏洞"。那么，坏⼈们⼜是在如何危及这些⽹络/服务器，导致数⼗万条的敏感记录泄露出去呢？其⼿段就是尽量简单，瞄准配置不安全的互联⼜是在如何危及这些⽹络/服务器，导致数⼗万条的敏感记录泄露出去呢？其⼿段就是尽量简单，瞄准配置不安全的互联⽹应⽤程序，使⽤定制的恶意软件，或者基本上采取其余各种⽅法，但是侧重于发现和利⽤零⽇漏洞来达到⽬标，零⽇漏洞并不是关键性因素。零⽇漏洞的防范在这个安全体系环境之下，除了需要实时更新更种软件的补丁，修复漏洞，尽量缩短零⽇漏洞在系统和应⽤软件中的存在时间，降低数据所⾯临的风险，还有以下⼏⽅⾯⼯作应重点重视：• 加强⽹络⼊侵防御系统建设⼊侵防御系统本质上是⼊侵检测系统和防⽕墙的有机结合，对于⽹络⼊侵防御系统（NIPS）⽽⾔，在⽹络环境中的部署应当注意对攻击的防范，同时对于内部⽹络环境⽽⾔，加强数据传输特征的深⼊检查，⼒求能够及时返现局域⽹内部的攻击⾏为，在⽹络边界⽅⾯，NIPS⼯作的重点在于执⾏对于数据流的分析，从传输特征和协议两个⽅⾯展开对于传输请求的检查，必要的情况下对⽹络流量施加限制，便于检测出不正常的⽹络传输操作，以及Doss攻击。除此之外，还应该加强对于数据签名的检查，考虑零⽇病毒完全可以在防毒系统创建出签名之前对⽹络实现攻击，因此只有不断优化签名监测时间，才能切实将确认攻击的时间缩短，提升⽹络安全性。与此同时，引⼊NIPS的重点之⼀，还在于该系统能够实现持续对于局域⽹内部环境交换和传输特征的侦测，从⽽发现可能存在⽽进⼊内⽹的攻击。• 加强主机⼊侵防御系统建设通常来说，主机⼊侵防御系统（HIPS）具有规则、监控以及拦截三⽅⾯的主要功能，⼀个妥善配置的HIPS，能够识别和记录⽤户⾏为，并且在⽆法判断的时候对⽤户做出询问，⽽后依据⽤户指令展开进⼀步的⼯作。理论上，HIPS能够⾯向⽤户主机实现良好的防御，但是实际⼯作中，⼀⽅⾯HIPS需要⾃⾏展开对于软件系统和系统⾏为的判断，不能全部依赖于对于⽤户的询问；另⼀⽅⾯，⽤户本⾝可能会因为对计算机只是的缺乏，⽽对相关的询问请求实⾏误判，加之零⽇攻击会将攻击⾏为加以包装隐藏，表现成为合法的传输请求，混淆⽤户视听，因此这种判断实际上仍然存在不可靠之处，对于这⼀⽅⾯，唯有在HIPS的智能化⽅⾯加强建设，才能切实推动系统对零⽇攻击的抵御。⾯向零⽇漏洞问题的⽹络安全⽃争必然会是⼀个持续⽽漫长的过程，发现漏洞，并阻⽌恶意软件的产⽣，才是我们应该做的。