獨(dú)家 | 2021年打破了零日黑客攻擊的記錄

作者：Patrick Howell O'Neill

翻譯：歐陽(yáng)錦

校對(duì)：王可汗

零日漏洞是一種通過(guò)以前未知的漏洞發(fā)起網(wǎng)絡(luò)攻擊的方法，這可能是黑客擁有的最有價(jià)值的東西——一些漏洞在公開(kāi)市場(chǎng)上的標(biāo)價(jià)能夠達(dá)到100萬(wàn)美元。

據(jù)多個(gè)數(shù)據(jù)庫(kù)、研究人員和網(wǎng)絡(luò)安全公司向《麻省理工科技評(píng)論》透露，今年內(nèi)網(wǎng)絡(luò)安全防御者捕獲的漏洞數(shù)量創(chuàng)下了歷史之最。根據(jù)零日漏洞追蹤項(xiàng)目等數(shù)據(jù)庫(kù)，今年至少發(fā)現(xiàn)了66個(gè)仍在使用中的零日漏洞——幾乎是2020年總數(shù)的兩倍，比記錄中的其他任何年份都多。

制表: Patrick Howell O'Neill 來(lái)源：零日漏洞追蹤項(xiàng)目

雖然這個(gè)創(chuàng)紀(jì)錄的數(shù)字吸引了我們的注意，但是我們應(yīng)該怎樣看待它呢？這意味著現(xiàn)在正在使用中的零日漏洞比以往更多，還是防御者變得更擅長(zhǎng)發(fā)現(xiàn)黑客了？

微軟云安全副總裁Eric Doerr說(shuō)：“可以肯定的是數(shù)量增加了。有趣的問(wèn)題是，這意味著什么？天塌下來(lái)了嗎？嗯，這很微妙'?！?/p>

黑客們正在“全力以赴”

導(dǎo)致零日漏洞報(bào)告率上升的其中一個(gè)原因是黑客工具在全球的迅速擴(kuò)散。有權(quán)有勢(shì)的團(tuán)體把大量的資金投入到零日攻擊中，為自己所用并獲得了回報(bào)。

處于食物鏈頂端的是政府資助的黑客。美國(guó)網(wǎng)絡(luò)安全公司FireEye Mandiant的漏洞和利用主管JaredSemrau說(shuō)，僅中國(guó)就被懷疑需要對(duì)今年的9個(gè)零日事件負(fù)責(zé)。而且美國(guó)及其盟友顯然擁有那些最先進(jìn)的黑客能力，關(guān)于更積極地使用黑客工具的討論也在增加。

Semrau說(shuō)："肯定有一些頂級(jí)的復(fù)雜間諜專(zhuān)家，正在以一種我們?cè)谶^(guò)去幾年中從未見(jiàn)過(guò)的方式在全力運(yùn)作。

很少有人或組織能像北京和華盛頓一樣擁有零日攻擊的能力。大多數(shù)國(guó)家沒(méi)有人才或基礎(chǔ)設(shè)施在國(guó)內(nèi)開(kāi)發(fā)這些漏洞，因此他們只能去購(gòu)買(mǎi)這樣的漏洞。

現(xiàn)在比以往任何時(shí)候都更容易從不斷增長(zhǎng)的漏洞產(chǎn)業(yè)中購(gòu)買(mǎi)零日漏洞。曾經(jīng)昂貴得令人望而卻步的高端產(chǎn)品現(xiàn)在也變得更容易購(gòu)買(mǎi)了。

Semrau說(shuō)：“我們看到這些國(guó)家集團(tuán)去找NSO或Candiru，這些日益知名的服務(wù)讓各國(guó)用財(cái)政資源換取進(jìn)攻能力。阿拉伯聯(lián)合酋長(zhǎng)國(guó)、美國(guó)以及歐洲和亞洲大國(guó)都向開(kāi)發(fā)行業(yè)投入了很多資金。”

而網(wǎng)絡(luò)犯罪分子近年來(lái)也在利用零日攻擊來(lái)賺錢(qián)，他們?cè)谲浖姓业饺毕?，使他們能夠開(kāi)展勒索軟件計(jì)劃。

Semrau說(shuō)：“有經(jīng)濟(jì)動(dòng)機(jī)的黑客比以往任何時(shí)候都要更復(fù)雜。我們最近追蹤到的三分之一的零日事件可以直接追溯到有經(jīng)濟(jì)動(dòng)機(jī)的黑客。因此，他們?cè)谶@一增長(zhǎng)中發(fā)揮了重要作用，雖然我認(rèn)為很多人都沒(méi)有對(duì)此給予肯定。”

網(wǎng)絡(luò)防御者得到了更好的關(guān)注

雖然可能有越來(lái)越多的人在開(kāi)發(fā)或購(gòu)買(mǎi)零日程序，但報(bào)告的創(chuàng)紀(jì)錄數(shù)量并不一定是一件壞事。實(shí)際上，一些專(zhuān)家說(shuō)這可能是個(gè)好消息。

我們采訪(fǎng)的人都不相信，在這么短的時(shí)間內(nèi)，零日攻擊的總數(shù)增加了一倍以上，只是被發(fā)現(xiàn)的數(shù)量增加了。這表示網(wǎng)絡(luò)防御者正在變得更善于抓住黑客。

我們可以看看這些數(shù)據(jù)，比如谷歌的零日漏洞表格，它追蹤了近十年來(lái)被抓獲的重大黑客。

這一趨勢(shì)可能反映出的一個(gè)變化是，用于網(wǎng)絡(luò)防御的資金正在變多，特別是科技公司為發(fā)現(xiàn)新的零日漏洞而提出的更大的漏洞賞金和獎(jiǎng)勵(lì)。但是有更好的工具出現(xiàn)也是變化之一。

AzimuthSecurity公司的創(chuàng)始人Mark Dowd說(shuō)：“防御者之前只能抓住相對(duì)簡(jiǎn)單的攻擊，現(xiàn)在顯然能夠檢測(cè)更復(fù)雜的黑客。我認(rèn)為這表明檢測(cè)復(fù)雜攻擊的能力正在升級(jí)?！?/p>

谷歌的威脅分析小組（TAG）、卡巴斯基的全球研究與分析小組（GReAT）和微軟的威脅情報(bào)中心（MSTIC）都擁有大量的人才、資源和數(shù)據(jù)。事實(shí)上，他們的能力可以與情報(bào)機(jī)構(gòu)中檢測(cè)和追蹤對(duì)手的黑客相媲美。

像微軟和CrowdStrike這樣的公司也在大規(guī)模地開(kāi)展檢測(cè)工作。以前的工具，如殺毒軟件，對(duì)異常活動(dòng)的關(guān)注較少，而今天，一家大公司可以在數(shù)百萬(wàn)臺(tái)機(jī)器上捕捉到一個(gè)小小的異常，然后追溯到用來(lái)可能存在的零日漏洞。

微軟的Doerr說(shuō)：“你現(xiàn)在看到更多漏洞的原因是我們發(fā)現(xiàn)了更多漏洞。我們擅長(zhǎng)吸引公眾的注意力。你可以從你所有的客戶(hù)那里知道當(dāng)下正在發(fā)生什么，這有助于你更快地變聰明。如果你發(fā)現(xiàn)了新的糟糕情況，這將只會(huì)影響一個(gè)客戶(hù)而不是一萬(wàn)個(gè)客戶(hù)?！?/p>

然而，現(xiàn)實(shí)比理論要混亂得多。今年早些時(shí)候，多個(gè)黑客組織對(duì)微軟Exchange電子郵件服務(wù)器發(fā)起了攻勢(shì)。起初只是一個(gè)關(guān)鍵的零日攻擊，一開(kāi)始是嚴(yán)重的零日攻擊，但在修復(fù)程序可用后，在它實(shí)際應(yīng)用于用戶(hù)之前，情況變得更加糟糕。這個(gè)缺口是黑客喜歡攻擊的最佳點(diǎn)。然而，作為一項(xiàng)理論，杜爾的觀點(diǎn)是非常正確的。

漏洞越來(lái)越難發(fā)現(xiàn)，也越來(lái)越昂貴

即使零日攻擊比以往任何時(shí)候都多，但有一個(gè)事實(shí)是所有專(zhuān)家都同意的：零日攻擊越來(lái)越難，需要花費(fèi)更多資源。

更完善的防御和更復(fù)雜的系統(tǒng)意味著黑客必須做更多嘗試才能侵入目標(biāo)——攻擊的成本變得更高，需要更多資源。然而，作為回報(bào)，有如此多公司都在使用云服務(wù)，只需一個(gè)漏洞就可以讓數(shù)百萬(wàn)客戶(hù)受到攻擊。

Doerr說(shuō)：“十年前，當(dāng)所有的東西都是在企業(yè)內(nèi)部時(shí)，很多攻擊只有某一家公司遇到，而且很少有公司有能力去了解到底發(fā)生了什么?！?/p>

面對(duì)不斷改進(jìn)的防御措施，黑客往往必須將多個(gè)漏洞綜合起來(lái)，而不是只使用某一個(gè)漏洞。這些“漏洞鏈”需要更多的零日漏洞。成功發(fā)現(xiàn)這些“漏洞鏈”也是漏洞數(shù)字急劇上升的部分原因。

Dowd說(shuō)，現(xiàn)在的黑客 "不得不通過(guò)這些一連串的漏洞來(lái)實(shí)現(xiàn)他們的目標(biāo)，這意味著更多的投入和更大的風(fēng)險(xiǎn)"。

最有價(jià)值的漏洞的成本上升是一個(gè)重要信號(hào)?，F(xiàn)有的有限數(shù)據(jù)，如Zerodium發(fā)布的零日價(jià)格，顯示在過(guò)去三年中最高端黑客的成本上升了1150%之多。

但是，即使零日攻擊更難，需求也已上升，供應(yīng)也隨之增加。天空可能不會(huì)塌下來(lái)，但也不會(huì)是一個(gè)完美的晴天。

原文標(biāo)題：

2021 has broken the record forzero-day hacking attacks

原文鏈接：

https://outline.com/JfuVKn