知物由学 | 如何应对日益强大的零日攻击

欢迎访问网易云社区，了解更多网易技术产品运营经验。

“知物由学”是网易云易盾打造的一个品牌栏目，词语出自汉·王充《论衡·实知》。人，能力有高下之分，学习才知道事物的道理，然后才有智慧，不去求问就不会知道。“知物由学”但愿经过一篇篇技术干货、趋势解读、人物思考和沉淀给你带来收获的同时，也但愿打开你的眼界，成就不同的你。固然，若是你有不错的认知或分享，也欢迎经过邮件（zhangyong02@corp.netease.com）投稿。

做者介绍：Benjamin Roussey加利福尼亚州萨克拉门托人。他拥有两个硕士学位，在美国海军服役四年。

如下是正文：

企业对技术的依赖是一把双刃剑。没有人可否认技术正在成为企业差别化和进步的最大推进力。另外一方面，没有人可以忽视企业由于技术的问题也可能陷入的混乱局面。在现代企业须要处理的几个网络安全问题中，零日攻击正在引发愈来愈多的关注。

什么是零日攻击？

 

零日攻击的源头是由于零日漏洞，“零日漏洞”是指被发现后当即被恶意利用的安全漏洞,这种攻击利用厂商缺乏防范意识或缺乏补丁,从而可以形成巨大破坏，之因此这样说，是由于开发人员和网络安全的团队没有时间保护他们的系统。

零日攻击威胁愈来愈频繁

零日攻击正在变得愈来愈频繁。目前安全团队愈来愈难去发现这种攻击，更不用说防止它们。频繁的操做系统更新和网络设置升级也会使系统遭受零日攻击。就如咱们所说的那样，这是一个使人沮丧的状况，但这也就是为何网络安全专家可以得到高额薪酬来保护企业系统免受这些攻击。

WannaCry的教训

2017年5月爆发的WannaCry勒索软件被大规模的新闻报道（想到它在全球形成的损失达40亿美圆，这就不意外）。然而，大部分新闻媒体都是在传播恐惧，而不是帮助企业了解勒索软件如何利用零日漏洞形成破坏。

这里有几点须要知晓：

1. 国家安全局（NSA）在全球灾难发生以前发现了系统漏洞，但没有透露。

2. 到2017年3月，微软在EternalBlue系统中发现了被视为Windows系统违规的潜在缘由的漏洞。

3. 为了缩小差距，微软发布了紧急安全补丁。

4. 可是，许多用户并无升级他们的操做系统，而且遭受了全面的勒索软件攻击。

以这种方式，许多系统中的零日漏洞使勒索软件在全球范围内危害了多台计算机和网络。这种攻击的广度和影响很难被预估，它们可能会使经济陷入停滞！

WannaCry教给企业及其IT部门的最大教训就是专一于修补软件并升级到最新的安全版本。

如何应对零日攻击？

1.机器学习是一个长期的解决方案

全部基于统计和签名的威胁检测模型都存在固有问题。虽然这些方法对已知的安全威胁都适用，但在零日攻击时，它们仍然存在不足。因为这些传统方法依赖于已知威胁的数据库，所以在对抗攻击方法的变化时，它们的能力很是有限。

这就须要行为分析系统。这些系统不是单纯地关注数据库的威胁，而是评估程序，并试图预测它们的操做在其实是否是有意的，或者是否与蓄意的更改功能相关联。随着时间的推移，这些系统将暴露于程序的整个操做配置文件中，而且可以在检测到可疑数据访问尝试时发出警报。

到目前为止，企业正在利用基于数据库和基于机器学习的算法模型的优点，努力实现混合模型。一旦这样的系统稳定下来，它就变成了阻止用户系统和软件中的弱端点、监视异常的程序行为，并将已知和已验证的程序操做添加到数据库中的问题。

2.部署受过零日攻击培训的事故响应团队

不管你采起何种安全措施，都不能排除零日攻击威胁。因此，最好准备好迎接这种攻击所带来的挑战。

1. 划分责任，以便响应团队的成员知道一旦混乱发生他们须要作什么。

2. 创建可靠的沟通手段，只让相关人员参与，防止恐慌蔓延，而不影响信息流动。

3. 模拟演习是一个突出的方式，以保持事故响应小组的能力。

4. 投资于团队培训，使他们可以使用最新的工具和技术来限制零日攻击的影响，并确保流程中业务的连续性。
   

除了上面介绍的内容以外，还有其余一些措施能够帮助您防止零日攻击。

1. 永远不要在您的计算机系统上安装任何没必要要的软件。每一个计算机程序都是零日漏洞的潜在来源。查看企业系统中正在使用的软件列表并卸载那些不须要的软件，这是一种明智的作法。

2. 负责确保全部使用的软件保持更新。

3. 尽管防止利用应用程序中未知漏洞的攻击是很是困难的，但部署防火墙可能而且实用，能够报告和阻止任何未经受权和可疑的对企业数据访问尝试。
   

据估计，到2022年，零日攻击的扩散将很是严重，网络安全专家将面临平常解决这些问题的挑战。为了可以控制混乱局面，企业必须持续投入精力实施强有力的运营控制，并执行完全和按期的安全审计，以找出差距并加以填补。

本文由网易云易盾组织翻译，译者：陆小凤。

网易云安全（易盾）基于网易20年技术积累及安全大数据，为互联网各行业提供反垃圾、验证码、注册保护、登陆保护、活动反做弊、应用加固、DDoS 防御等总体安全解决方案，全程提供完善的技术支持，助力产品创建安全防御体系。点击可免费试用。

相关文章：
【推荐】 手把手带你打造一个 Android 热修复框架
【推荐】 使用Phaser开发你的第一个H5游戏（一）