网络安全:零日攻击概念详解

现在的安全问题,其中一个重要的方面是,先发现系统的漏洞,然后利用系统的漏洞对漏洞进行攻击。过去,安全漏洞被利用一般需要几个月时间。现在这个时间越来越短。

如果一个漏洞被发现后,当天或更准确的定义是在24小时内,立即被恶意利用,出现对该漏洞的攻击方法或出现攻击行为,那么该漏洞被称为“零日漏洞”,该攻击被称为“零日攻击”。

系统被发现存在漏洞后,由于原厂商需要时间确认漏洞的存在,需要时间评估漏洞的风险,也需要时间来确定漏洞修正的方法,实现该方法后还要验证、评估和质检,因此很难在当日就拿出补丁。由于厂商缺少补丁,而最终用户又缺少防范意识,从而能够造成巨大破坏。

现在针对新漏洞的攻击产生速度比以前要快得多。不光有“零日攻击”,还有“零时攻击”。因此防止各种被称之为“零时”(zero-hour)或“零日”(zero-day)的新的未知的威胁变得尤其重要。

“零日漏洞”攻击成为原厂商和企业的恶梦和灾星。显然打补丁不是一个有效的解决方案。没有补丁,怎么打?检测也不是一个有效的解决方案,都不知道漏洞是什么,不知道特征代码,怎么检测?

“零日攻击”和“零时攻击”的解决方案只有一个,那就是免疫。没有漏洞的产品是不可能的,微软也不例外。出现漏洞不被恶意利用,谁也不能做这种保证。正确的解决方案是寻找具有免疫能力的解决方案。

所谓“免疫”,是指存在一种方法或系统,能够把漏洞保护起来,能够抵御基于该漏洞的攻击,消除该漏洞存在的风险。将来的情况可能是“有漏洞,没风险”。

中网S3主机安全系统就是这样一种解决方案。