零日攻擊是一種透過以前未知的漏洞發起網路攻擊的方法,這可能是駭客擁有的最有價值的東西——一些漏洞在公開市場上的標價能夠達到100萬美元。
據多個資料庫、研究人員和網路安全公司向《麻省理工科技評論》透露,今年內網路安全防禦者捕獲的漏洞數量創下了歷史之最。根據零日攻擊追蹤專案等資料庫,今年至少發現了66個仍在使用中的零日攻擊漏洞——幾乎是2020年總數的兩倍,比記錄中的其他任何年份都多。
雖然這個創紀錄的數字吸引了我們的注意,但是我們應該怎樣看待它呢?這意味著現在正在使用中的零日攻擊比以往更多,還是防禦者變得更擅長發現駭客了?
微軟雲端安全副總裁Eric Doerr說:「可以肯定的是數量增加了。有趣的問題是,這意味著什麼?天塌下來了嗎?嗯,這很微妙。」
駭客們正在「全力以赴」
導致零日攻擊報告率上升的其中一個原因是駭客工具在全球的迅速擴散。有權有勢的團體把大量的資金投入到零日攻擊中,並獲得了回報。
處於食物鏈頂端的是政府資助的駭客。美國網路安全公司FireEye Mandiant的漏洞和利用主管JaredSemrau說,僅中國就被懷疑需要對今年的9個零日事件負責。而且美國及其盟友顯然擁有那些最先進的駭客能力,關於更積極地使用駭客工具的討論也在增加。
Semrau說:「一定有一些頂級的複雜間諜專家,正在以一種我們在過去幾年中從未見過的方式在全力運作。」
很少有人或組織能像北京和華盛頓一樣擁有零日攻擊的能力。大多數國家沒有人才或基礎設施在國內開發這些漏洞,因此他們只能去購買這樣的漏洞。
現在比以往任何時候都更容易從不斷增長的漏洞產業中購買零日攻擊。曾經昂貴得令人望而卻步的高階產品現在也變得更容易購買了。
Semrau說:「我們看到這些國家集團去找NSO或Candiru,這些日益知名的服務讓各國用財政資源換取進攻能力。阿拉伯聯合大公國、美國以及歐洲和亞洲大國都向開發行業投入了很多資金。」
而網路犯罪分子近年來也在利用零日攻擊來賺錢,他們在軟體中找到缺陷,使他們能夠開展勒索軟體計畫。
Semrau說:「有經濟動機的駭客比以往任何時候都要更複雜。我們最近追蹤到的三分之一的零日事件可以直接追溯到有經濟動機的駭客。因此,他們在這一增長中發揮了重要作用,雖然我認為很多人都沒有對此給予肯定。」
網路防禦者得到了更好的關注
雖然可能有越來越多的人在開發或購買零日攻擊程式,但報告的創紀錄數量並不一定是一件壞事。實際上,一些專家說這可能是個好消息。
我們採訪的人都不相信,在這麼短的時間內,零日攻擊的總數增加了一倍以上,只是被發現的數量增加了。這表示網路防禦者正在變得更善於抓住駭客。
我們可以看看這些資料,比如Google的零日攻擊表格,它追蹤了近十年來被抓獲的重大駭客。
這一趨勢可能反映出的一個變化是,用於網路防禦的資金正在變多,特別是科技公司為發現新的零日攻擊而提出的更大的漏洞賞金和獎勵。但是有更好的工具出現也是變化之一。
AzimuthSecurity公司的創始人Mark Dowd說:「以前防禦者只能抓住相對簡單的攻擊,現在顯然能夠檢測更複雜的駭客。我認為這表明檢測複雜攻擊的能力正在升級。」
Google的威脅分析小組(TAG)、卡巴斯基的全球研究與分析小組(GReAT)和微軟的威脅情報中心(MSTIC)都擁有大量的人才、資源和資料。事實上,他們的能力可以與情報機構中檢測和追蹤對手的駭客相媲美。
像微軟和CrowdStrike這樣的公司也在大規模地開展檢測工作。以前的工具,如防毒軟體,對異常活動的關注較少,而今天,一家大公司可以在數百萬台機器上捕捉到一個小小的異常,然後追溯到用來可能存在的零日攻擊。
微軟的Doerr說:「你現在看到更多漏洞的原因是我們發現了更多漏洞。我們擅長吸引公眾的注意力。你可以從你所有的客戶那裡知道當下正在發生什麼,這有助於你更快地變聰明。如果你發現了新的糟糕情況,這將只會影響一個客戶而不是一萬個客戶。」
然而,現實比理論要混亂得多。今年早些時候,多個駭客組織對微軟Exchange電子郵件伺服器發起了攻勢。起初只是一個關鍵的零日攻擊,一開始是嚴重的零日攻擊,但在修復程式可用後,在它實際應用於使用者之前,情況變得更加糟糕。這個缺口是駭客喜歡攻擊的最佳點。然而,作為一項理論,杜爾的觀點是非常正確的。
漏洞越來越難發現,也越來越昂貴
即使零日攻擊比以往任何時候都多,但有一個事實是所有專家都同意的:零日攻擊越來越難,需要花費更多資源。
更完善的防禦和更複雜的系統意味著駭客必須做更多嘗試才能侵入目標——攻擊的成本變得更高,需要更多資源。然而,作為回報,有如此多公司都在使用雲端服務,只需一個漏洞就可以讓數百萬客戶受到攻擊。
Doerr說:「十年前,當所有的東西都是在企業內部時,很多攻擊只有某一家公司遇到,而且很少有公司有能力去瞭解到底發生了什麼。」
面對不斷改進的防禦措施,駭客往往必須將多個漏洞綜合起來,而不是只使用某一個漏洞。這些「漏洞鏈」需要更多的零日攻擊。成功發現這些「漏洞鏈」也是漏洞數位急劇上升的部分原因。
Dowd說,現在的駭客 「不得不透過這些一連串的漏洞來實現他們的目標,這意味著更多的投入和更大的風險」。
最有價值的漏洞的成本上升是一個重要訊號。現有的有限資料,如Zerodium發布的零日漏洞價格,顯示在過去三年中最高階駭客的成本上升了1150%之多。
但是,即使零日攻擊更難,需求也已上升,供應也隨之增加。天空可能不會塌下來,但也不會是一個完美的晴天。
加入電腦王Facebook粉絲團