什麼是"0day"?零日漏洞介紹及防範

零日漏洞，一個獨特的黑客文化……

這個詞從來沒有過權威解釋，百度百科也僅僅是解釋了它在網路安全方面的含義，並沒有給出這個詞的來由，以及文化出處。

摘錄一點百度百科的資料：

零日漏洞

「零日漏洞」(zero-day)又叫零時差攻擊，是指被發現後立即被惡意利用的安全漏洞。通俗地講，即安全補丁與瑕疵曝光的同一日內，相關的惡意程序就出現。這種攻擊往往具有很大的突發性與破壞性。

攻擊威脅

雖然還沒有出現大量的「零日漏洞」攻擊，但其威脅日益增長，證據如下：

黑客更加善於在發現安全漏洞不久後利用它們。過去，安全漏洞被利用一般需要幾個月時間。最近，發現與利用之間的時間間隔已經減少到了數天。

利用漏洞的攻擊被設計為迅速傳播，感染數量越來越多的系統。攻擊由之前被動式的、傳播緩慢的文件和宏病毒演化為利用幾天或幾小時傳播的更加主動的、自我傳播的電子郵件蠕蟲和混合威脅。

人們掌握的安全漏洞知識越來越多，就有越來越多的漏洞被發現和利用。一般使用防火牆、入侵檢測系統和防病毒軟體來保護關鍵業務IT基礎設施。這些系統提供了良好的第一級保護，但是儘管安全人員盡了最大的努力，他們仍不能免遭受零日漏洞攻擊。

開源代碼導致零日漏洞復現率倍增

網路安全風投公司曾發布過一份《零日漏洞報告》，為CISO和IT安全團隊提供零日漏洞趨勢、統計數據、最佳實踐和資源。

報告凸顯了一些預警性統計數據，包括：

? 應用攻擊界面每年增加1110億行軟體代碼

? 任務關鍵App中的開源代碼將佔99%

麥克·卡頓，Digital Defense 研發副總裁，稱：「從安全形度看，開源代碼的大量使用是有問題的。越來越多的公司不斷投入開源代碼懷抱，作為削減營銷周期，儘快將產品推向市場的一種手段。」

由於一塊代碼可作為軟體組件應用到多種設備中，這種組件中發現的零日漏洞復現率就可能倍增。你通常會在各種各樣的設備和平台上發現一連串的漏洞。

推向市場的壓力，催生了在企業產品中集成進更多庫的新趨勢，但這每一個庫，都代表著潛在的漏洞風險。

數據泄密事件之所以急劇增長，零日漏洞起關鍵作用？

據韋里遜公司（Verizon）最近發布的《數據泄露調查報告》顯示，真相實際上要比這有意思得多。

報告指出，依據韋里遜的數據樣本，"沒有哪一起得到證實的入侵事件利用了某個可以打上補丁的漏洞"。那麼，壞人們又是在如何危及這些網路/伺服器，導致數十萬條的敏感記錄泄露出去呢？其手段就是盡量簡單，瞄準配置不安全的互聯網應用程序，使用定製的惡意軟體，或者基本上採取其餘各種方法，但是側重於發現和利用零日漏洞來達到目標，零日漏洞並不是關鍵性因素。

零日漏洞的防範

在這個安全體系環境之下，除了需要實時更新更種軟體的補丁，修復漏洞，盡量縮短零日漏洞在系統和應用軟體中的存在時間，降低數據所面臨的風險，還有以下幾方面工作應重點重視：

? 加強網路入侵防禦系統建設

入侵防禦系統本質上是入侵檢測系統和防火牆的有機結合，對於網路入侵防禦系統（NIPS）而言，在網路環境中的部署應當注意對攻擊的防範，同時對於內部網路環境而言，加強數據傳輸特徵的深入檢查，力求能夠及時返現區域網內部的攻擊行為，在網路邊界方面，NIPS工作的重點在於執行對於數據流的分析，從傳輸特徵和協議兩個方面展開對於傳輸請求的檢查，必要的情況下對網路流量施加限制，便於檢測出不正常的網路傳輸操作，以及Doss攻擊。

除此之外，還應該加強對於數據簽名的檢查，考慮零日病毒完全可以在防毒系統創建出簽名之前對網路實現攻擊，因此只有不斷優化簽名監測時間，才能切實將確認攻擊的時間縮短，提升網路安全性。與此同時，引入NIPS的重點之一，還在於該系統能夠實現持續對於區域網內部環境交換和傳輸特徵的偵測，從而發現可能存在而進入內網的攻擊。

? 加強主機入侵防禦系統建設

通常來說，主機入侵防禦系統（HIPS）具有規則、監控以及攔截三方面的主要功能，一個妥善配置的HIPS，能夠識別和記錄用戶行為，並且在無法判斷的時候對用戶做出詢問，而後依據用戶指令展開進一步的工作。

理論上，HIPS能夠面向用戶主機實現良好的防禦，但是實際工作中，一方面HIPS需要自行展開對於軟體系統和系統行為的判斷，不能全部依賴於對於用戶的詢問；另一方面，用戶本身可能會因為對計算機只是的缺乏，而對相關的詢問請求實行誤判，加之零日攻擊會將攻擊行為加以包裝隱藏，表現成為合法的傳輸請求，混淆用戶視聽，因此這種判斷實際上仍然存在不可靠之處，對於這一方面，唯有在HIPS的智能化方面加強建設，才能切實推動系統對零日攻擊的抵禦。

面向零日漏洞問題的網路安全鬥爭必然會是一個持續而漫長的過程，發現漏洞，並阻止惡意軟體的產生，才是我們應該做的。