为什么零日攻击很危险
零日攻击危险的原因如下:
漏洞补丁开发速度慢:零日漏洞是由攻击者自己发现的,并且不会公布,而存在零日漏洞的系统或应用程序的开发商却并不一定知道这个新的漏洞,因此也就不会开发相应的漏洞补丁包来修补它。其实,就算开发商与攻击者同时发现了这个漏洞,但是,开发商发布漏洞补丁必需经过开发——测试——发布这三个阶段,速度再快也需要几天时间。而攻击者在发现零日漏洞后,会立即编写相应的漏洞利用脚本来攻击所有存在此漏洞的目标系统。在时间上,漏洞补丁发布速度就不可能赶上攻击者对此漏洞的利用速度。
检测不到零日攻击行为的攻击特征:现在大多数网络用户使用的安全防范设备,如防火墙,UTM网关,以及入侵检测防御系统(IDS/IPS),主要还是利用网络攻击行为的攻击特征来检测恶意的网络流量。而由攻击者编写的零日漏洞利用脚本,由于在网络上是第一次使用,安全设备开发商就不可能知道这种零日攻击行为的攻击特征,因而这些安全防范设备的攻击特征库中也就不会存在这种攻击特征,安全设备也就不会检测到这种零日攻击行为了。
主动防御技术不太完善:就算现在那些宣布具有主动防御功能的安全设备,由于目前的主动防御技术还不太完善,都存在漏报和误报的可能,并且,攻击者在编写攻击脚本时,还会通过一些手段来逃避这些安全设备的检测,因此,主动防御设备也不可能做到百分之百地完全防御零日攻击行为。
提升零日攻击防御能力的方法如下:
实时更新补丁、修复漏洞:实时更新各系统软件,及时更新漏洞补丁,尽量缩短零日漏洞在系统和应用软件中的存在时间,定期对系统漏洞进行扫描修补,降低系统面对攻击的风险;
实时监测、主动防护:防范零日攻击,降低其带来的影响,最好的方法就是在零日攻击活动开始进行时,就及时发现并阻止它。建设实时入侵检测和入侵防护系统,及时发现和阻挡一部分的零日攻击行为;
加固终端系统:计算机终端通常是整个网络环节中最薄弱的环节,对系统进行安全加固是一个减少系统被零日攻击的一个不错的方法;
加强网络基础设施的安全:加强网络基础设施的安全,能降低网络被零日攻击后造成影响的范围和严重程度;
建立一个完善的应对零日攻击的应急响应方案:无论采取何种安全措施,都不能完全排除零日攻击威胁。完善的应急响应方案可以帮助企业快速处理阻止攻击,将企业损失减少到最小。