译者 | 陈峻

零日攻击（zero-day attack）一词通常是指利用计算机系统或软件应用中的未知漏洞，实施网络攻击的行为。由于新发现的漏洞无法被提前知晓，所以存在此类问题的系统或应用，无法通过事先修补的方式，去预防攻击，因此被称为“零日”。而且，正是因为其难以预测和防御，所以该类型的攻击具有极强的危险性和破坏性。

零日防护的基本措施

通常，我们可以采取如下一些基本措施来防止零日攻击：

• 安装最新的安全补丁，使得所有软件和系统都保持最新：这是非常重要的，毕竟软件供应商会经常发布各种补丁，以修复新近发现的漏洞。可见，通过让系统和软件保持最新，我们可以从根本上降低被零日攻击利用的风险。
• 使用防病毒软件：防病毒软件可以协助用户检测和阻止已知的恶意软件，并有针对性地防范那些使用恶意软件，去利用系统漏洞的零日攻击。
• 使用防火墙：防火墙是一种网络层面上的安全系统。它能够根据预先确定的安全监控规则，控制传入和传出的网络流量。它可以协助用户阻止未经授权的访问，以及以此为攻击手段的零日攻击。
• 使用双因素身份验证（two-factor authentication，2FA）：2FA通过要求除了密码之外，提供额外的信息（例如：发送到手机上的验证码），从而为您的帐户增加一层额外的安全保护。显然，即使在您的密码被泄露的情况下，它仍然可以防止未经授权者访问您的帐户。
• 启用浏览器的安全功能：如今，各种Web浏览器都在不同程度上内置了安全功能，例如：恶意软件保护、网络钓鱼保护、以及Cookie管理等，可协助抵御不同程度的零日攻击。因此，请确保在您的浏览器设置中启用此类功能。
• 谨慎打开电子邮件和链接：零日攻击通常会使用网络钓鱼策略，来诱骗用户点击恶意链接，或是下载恶意软件。为此，我们需要警惕来源不明的电子邮件和链接，避免点击可疑的邮件链接或下载里面的附件。

零日攻击的高级防御措施

为了确保敏感信息得到合理的保护，正常的操作不会被中断，我们除了具备上文介绍的基本知识以外，还需要通过各种高级安全措施和实践（例如：补丁管理、事件响应和零信任安全等），来减少零日攻击的可能性，或者是在确实被入侵的情况下，尽量减少由其带来的潜在影响。

实施补丁管理

补丁管理是一个持续的过程。它涉及到识别软件更新或补丁，确定其优先级，并通过安装补丁来解决计算机系统和应用的已知漏洞。通过实施强大的补丁管理流程，组织可以通过确保所有系统和应用都能够得到最新的补丁保护。下面，我们来具体看看补丁管理是如何防范零日攻击的：

• 识别漏洞：补丁管理首先需要识别组织所使用的系统和应用中有哪些已知的漏洞。我们可以通过定期扫描和评估的方式，以及通过监控服务提供商的官网、以及其他安全信息提供来源，以获取有关新发现的漏洞信息来实现。
• 确定补丁的优先级：一旦发现新的漏洞，补丁管理系统就需要根据补丁的潜在影响、被利用的可能性，来确定应该首先安装哪些补丁。这将有助于组织集中有限的精力，优先处置那些最关键的漏洞。
• 安装补丁：一旦确定了补丁的优先级，补丁管理系统就应当在所有适用的系统和应用上安装对应的补丁。整个过程既可以是手动完成，也可以使用自动化的工具和流程来实现，具体则取决于组织内IT环境的规模和复杂性。
• 测试和验证：补丁安装完毕后，补丁管理系统需要测试和验证补丁是否已被正确地安装，并能按照预期运行。这有助于确保补丁能够真实、有效地修补它们所针对的漏洞。

使用windows Defender漏洞防护

Windows Defender Exploit Guard是Windows操作系统的一项安全功能，能够有助于抵御零日攻击、以及其他类型的网络威胁。它包含了一组功能和控件，可防范、检测和响应针对Windows系统的尝试与利用。Windows Defender Exploit Guard的主要功能包括：

• 减少攻击面（Attack Surface Reduction，ASR）：此功能有助于通过阻止常见的利用Windows漏洞的技术（例如：内存操作和权限升级等），来减少暴露的攻击面。同时，它还可以控制哪些应用或进程可以访问某些系统资源，例如：具体哪个App可以在使用中访问网络和文件系统。
• 受控的文件夹访问：此功能通过阻止可疑的恶意进程，去访问某些文件夹或文件，进而保护敏感数据，免遭未经授权的读取或修改。此外，它还允许用户通过列表的形式，自定义哪些受信任应用和进程可以访问哪些文件夹。
• 网络保护：此功能通过阻止各种可疑的网络活动和连接，来防止基于网络的攻击。通过要求对所有网络流量进行身份验证，它从网络层面上，防止了攻击者对于某些资源的未经授权的访问。
• 漏洞利用保护：此功能通过对某些程序应用事先定义好一组缓解措施，以及时“弥补”软件和应用中新被发现的漏洞。当然，我们也可以对其进行定制，以将特定的缓解措施，应用于特定的程序或流程中。

总体而言，Windows Defender Exploit Guard是一款强大的工具，可帮助我们抵御Windows系统所面临的零日攻击、以及其他类型的网络威胁。因此，保持此功能处于启用状态，并保持其持续更新是非常重要的。它在某种程度上起到了系统“守门员”的作用。

零信任和XDR

零信任安全和XDR（可拓展威胁检测与响应，Extended Detection and Response）可以通过提供更为全面和主动的安全方法，来阻止零日攻击。

零信任安全模型假定：无论来自何处，所有网络流量都应当被视为不受信任的。这就意味着在允许被访问敏感信息或系统之前，所有流量都需要经过仔细的审查，以防止攻击者利用认证与授权上的漏洞，去访问目标网络。

而XDR集成了来自多种安全技术和来源的数据，可提供更全面的组织安全态势视图。这使得安全团队能够更快、更有效地检测和响应新出现的威胁、以及零日攻击形式。此外，XDR还可以帮助组织识别其现有环境中的潜在漏洞和风险，进而前摄性地防止零日攻击的发生。

利用下一代防病毒

下一代防病毒（Next-Generation Antivirus，NGAV）是一种防病毒软件，它使用先进的技术和处理能力，来提供针对恶意软件、以及其他安全威胁的更有效的保护。

与主要依靠签名检测来识别已知威胁的传统防病毒软件不同，NGAV会使用多种方法，来检测和阻止恶意软件。例如，它会用到基于行为的检测、机器学习、以及启发式方法。这些都使得NGAV能够针对更广泛的威胁（包括零日攻击、以及其他新出现的威胁）提供更全面、更有效的保护。

准备好事件响应计划

国外著名安全意识培训机构SANS曾提出了经典的事件响应六大阶段。它是一个可用于组织和协调安全事件响应的框架，我们可以用来应对由零日攻击给组织造成的安全事件。它每个阶段的具体内容包括：

1. 准备：此阶段主要是制定待实施的安全事件响应计划，包括：建立角色和职责，定义流程，以及指定适当的工具和资源。

2. 识别：此阶段主要是检测和识别正在发生的安全事件。我们可以通过诸如：监控网络流量，分析日志，以及响应来自安全工具与设备的警报等多种方式来实现。

3. 遏制：一旦确认了安全事件，下一步就应该通过遏制，以防止其传播或造成进一步的损害。此阶段主要涉及到：断开受影响的系统与网络连接，关闭服务，或实施其他快速措施，来及时限制事件的影响。

4. 根除：该阶段需要消除安全事件的根本原因。此处包括：删除恶意软件，修补暴露的漏洞，以及采取根本原因分析法（RCA），来挖掘事件背后的原因。

5. 恢复：阻止了事件恶化后，我们在此阶段就需要恢复所有受影响的系统或数据。其中包括：恢复备份，重建系统，或通过实施多部门协作，让组织尽快恢复到正常运行的状态。

6. 经验教训：最后、也是最重要的是审查我们在事件响应过程中，需要改进的地方。该阶段主要包括：开展事后审查，分析数据和日志，以及按需实施调整与更改，以防止类似事件的再次发生。

通过遵循上述六个阶段，组织可以更快、更有效地响应各类安全事件，以避免事件的蔓延，或造成进一步的损害。值得一提的是，从事件响应过程中吸取的教训，可以帮助组织识别和整改其现有环境中的各类漏洞或弱点，进而防范可能出现的零日攻击。

小结

综上所述，由于零日攻击利用的是未知的漏洞，获取的是敏感的信息，甚至会造成运营的中断，因此它对于组织和个人所构成的威胁是相当严重的。正因为如此，防范此类攻击对于现有的大型系统、以及个人终端都是至关重要的。

在上文中，我们介绍了针对零日攻击的基本与高级防御措施，其中深入讨论了实施补丁管理、使用Windows Defender、零信任、XDR、NGAV、以及事件响应计划。希望这些有助于贵企业更好地免受零日攻击，并能保持业务的持续稳定运营。

译者介绍

陈峻 （Julian Chen），51CTO社区编辑，具有十多年的IT项目实施经验，善于对内外部资源与风险实施管控，专注传播网络与信息安全知识与经验。

原文标题：Preventing Zero Day Attacks: Advanced Best Practices，作者：Gilad David Maayan