<返回更多

防止零日攻击的高级优秀实践

2023-02-07  51CTO  
加入收藏

译者 | 陈峻

零日攻击(zero-day attack)一词通常是指利用计算机系统或软件应用中的未知漏洞,实施网络攻击的行为。由于新发现的漏洞无法被提前知晓,所以存在此类问题的系统或应用,无法通过事先修补的方式,去预防攻击,因此被称为“零日”。而且,正是因为其难以预测和防御,所以该类型的攻击具有极强的危险性和破坏性。

零日防护的基本措施

通常,我们可以采取如下一些基本措施来防止零日攻击:

零日攻击的高级防御措施

为了确保敏感信息得到合理的保护,正常的操作不会被中断,我们除了具备上文介绍的基本知识以外,还需要通过各种高级安全措施和实践(例如:补丁管理、事件响应和零信任安全等),来减少零日攻击的可能性,或者是在确实被入侵的情况下,尽量减少由其带来的潜在影响。

实施补丁管理

补丁管理是一个持续的过程。它涉及到识别软件更新或补丁,确定其优先级,并通过安装补丁来解决计算机系统和应用的已知漏洞。通过实施强大的补丁管理流程,组织可以通过确保所有系统和应用都能够得到最新的补丁保护。下面,我们来具体看看补丁管理是如何防范零日攻击的:

使用windows Defender漏洞防护

Windows Defender Exploit Guard是Windows操作系统的一项安全功能,能够有助于抵御零日攻击、以及其他类型的网络威胁。它包含了一组功能和控件,可防范、检测和响应针对Windows系统的尝试与利用。Windows Defender Exploit Guard的主要功能包括:

总体而言,Windows Defender Exploit Guard是一款强大的工具,可帮助我们抵御Windows系统所面临的零日攻击、以及其他类型的网络威胁。因此,保持此功能处于启用状态,并保持其持续更新是非常重要的。它在某种程度上起到了系统“守门员”的作用。

零信任和XDR

零信任安全和XDR(可拓展威胁检测与响应,Extended Detection and Response)可以通过提供更为全面和主动的安全方法,来阻止零日攻击。

零信任安全模型假定:无论来自何处,所有网络流量都应当被视为不受信任的。这就意味着在允许被访问敏感信息或系统之前,所有流量都需要经过仔细的审查,以防止攻击者利用认证与授权上的漏洞,去访问目标网络。

而XDR集成了来自多种安全技术和来源的数据,可提供更全面的组织安全态势视图。这使得安全团队能够更快、更有效地检测和响应新出现的威胁、以及零日攻击形式。此外,XDR还可以帮助组织识别其现有环境中的潜在漏洞和风险,进而前摄性地防止零日攻击的发生。

利用下一代防病毒

下一代防病毒(Next-Generation Antivirus,NGAV)是一种防病毒软件,它使用先进的技术和处理能力,来提供针对恶意软件、以及其他安全威胁的更有效的保护。

与主要依靠签名检测来识别已知威胁的传统防病毒软件不同,NGAV会使用多种方法,来检测和阻止恶意软件。例如,它会用到基于行为的检测、机器学习、以及启发式方法。这些都使得NGAV能够针对更广泛的威胁(包括零日攻击、以及其他新出现的威胁)提供更全面、更有效的保护。

准备好事件响应计划

国外著名安全意识培训机构SANS曾提出了经典的事件响应六大阶段。它是一个可用于组织和协调安全事件响应的框架,我们可以用来应对由零日攻击给组织造成的安全事件。它每个阶段的具体内容包括:

1. 准备:此阶段主要是制定待实施的安全事件响应计划,包括:建立角色和职责,定义流程,以及指定适当的工具和资源。

2. 识别:此阶段主要是检测和识别正在发生的安全事件。我们可以通过诸如:监控网络流量,分析日志,以及响应来自安全工具与设备的警报等多种方式来实现。

3. 遏制:一旦确认了安全事件,下一步就应该通过遏制,以防止其传播或造成进一步的损害。此阶段主要涉及到:断开受影响的系统与网络连接,关闭服务,或实施其他快速措施,来及时限制事件的影响。

4. 根除:该阶段需要消除安全事件的根本原因。此处包括:删除恶意软件,修补暴露的漏洞,以及采取根本原因分析法(RCA),来挖掘事件背后的原因。

5. 恢复:阻止了事件恶化后,我们在此阶段就需要恢复所有受影响的系统或数据。其中包括:恢复备份,重建系统,或通过实施多部门协作,让组织尽快恢复到正常运行的状态。

6. 经验教训:最后、也是最重要的是审查我们在事件响应过程中,需要改进的地方。该阶段主要包括:开展事后审查,分析数据和日志,以及按需实施调整与更改,以防止类似事件的再次发生。

通过遵循上述六个阶段,组织可以更快、更有效地响应各类安全事件,以避免事件的蔓延,或造成进一步的损害。值得一提的是,从事件响应过程中吸取的教训,可以帮助组织识别和整改其现有环境中的各类漏洞或弱点,进而防范可能出现的零日攻击。

小结

综上所述,由于零日攻击利用的是未知的漏洞,获取的是敏感的信息,甚至会造成运营的中断,因此它对于组织和个人所构成的威胁是相当严重的。正因为如此,防范此类攻击对于现有的大型系统、以及个人终端都是至关重要的。

在上文中,我们介绍了针对零日攻击的基本与高级防御措施,其中深入讨论了实施补丁管理、使用Windows Defender、零信任、XDR、NGAV、以及事件响应计划。希望这些有助于贵企业更好地免受零日攻击,并能保持业务的持续稳定运营。

译者介绍

陈峻 (Julian Chen),51CTO社区编辑,具有十多年的IT项目实施经验,善于对内外部资源与风险实施管控,专注传播网络与信息安全知识与经验。

原文标题:Preventing Zero Day Attacks: Advanced Best Practices,作者:Gilad David Maayan

声明:本站部分内容来自互联网,如有版权侵犯或其他问题请与我们联系,我们将立即删除或处理。
▍相关推荐
更多资讯 >>>