什么是零日漏洞？

今年3月，Google员工Tavis Ormandy‏曾对外披露了Chrome浏览器中存在的零日漏洞——该漏洞允许黑客使用浏览器中加载的恶意PDF文档来获取个人数据，彼时Google官方曾表示修复方案会在4月底发布。

然而在 90 天的修复截止日期后，微软安全响应中心（MSRC）却在6月11日表示“由于测试中发现问题，在7月前也不会修补好”，于是Ormandy在近日选择公开了零日漏洞隐藏的一个新Bug：该漏洞可以让黑客们轻松地拆除整个Windows机群，且微软仍处于可能被攻击的状态！

零日漏洞，一个独特的黑客文化。云师哥今天带你认识这个强大又脆弱的武器——零日漏洞。

认识零日漏洞

“零日漏洞”(zero-day)又叫零时差攻击，是指被发现后立即被恶意利用的安全漏洞，即安全补丁与瑕疵曝光的同一日内，相关的恶意程序就出现。这种攻击往往具有很大的突发性与破坏性。

通俗易懂地讲...

零日漏洞就是供应商尚未修复的安全漏洞，可被攻击者转化为强力武器加以利用。出于军事、情报和司法目的，某些政府会找寻、购买和使用零日漏洞。但这种操作颇引争议，因为其他攻击者若发现相同漏洞，整个社会都会因政府的隐瞒不报而面临风险。

零日漏洞到底有多危险？

早在2011年，一款名为“Duqu”的木马被发现，而它的目标是从各工业设施的系统厂商处获取设计文件等数据信息，用于以后对各行业工业控制系统实施攻击。

在一起攻击中，攻击者正是定向发送了带有微软Word附件的邮件，该Word附件含有当时还未公布的零日核心漏洞。Duqu的出现，预示着网络攻击技术开启了新时代，攻击者将有足够的能力成功实施工业间谍活动。

2016年8月，苹果IOS系统出现了历史上最大的漏洞，因为质量极高且由三个零日漏洞组成，所以命名“三叉戟”。

用户只需要轻轻点击黑客发来的链接，手机就会被远程越狱。黑客瞬间就能获得手机的最高权限。众所周知，苹果手机越狱往往需要几个漏洞层层配合才能实现。但是利用一个链接，就可以彻底远程控制你的 iPhone，在这个零日漏洞出来之前这种级别的 iOS 漏洞，一直是个江湖传说。

但如今，不联合使用几个乃至几十个小零日漏洞，往往都无法突破 Windows 10 或苹果 iOS 等消费级操作系统中的安全缓解措施，更别提获取目标的完全控制权了。所以，当前黑市上远程执行零日漏洞的价格堪称天价。

零日漏洞如何防范？

在这个安全体系环境之下，除了需要实时更新更种软件的补丁，修复漏洞，尽量缩短零日漏洞在系统和应用软件中的存在时间，降低数据所面临的风险，还有以下几方面工作应重点重视：

1，加强网络入侵防御系统建设

入侵防御系统本质上是入侵检测系统和防火墙的有机结合，对于网络入侵防御系统（NIPS）而言，在网络环境中的部署应当注意对攻击的防范，同时对于内部网络环境而言，加强数据传输特征的深入检查，力求能够及时返现局域网内部的攻击行为，在网络边界方面，NIPS工作的重点在于执行对于数据流的分析，从传输特征和协议两个方面展开对于传输请求的检查，必要的情况下对网络流量施加限制，便于检测出不正常的网络传输操作，以及Doss攻击。

除此之外，还应该加强对于数据签名的检查，考虑零日病毒完全可以在防毒系统创建出签名之前对网络实现攻击，因此只有不断优化签名监测时间，才能切实将确认攻击的时间缩短，提升网络安全性。与此同时，引入NIPS的重点之一，还在于该系统能够实现持续对于局域网内部环境交换和传输特征的侦测，从而发现可能存在而进入内网的攻击。

2，加强主机入侵防御系统建设

通常来说，主机入侵防御系统（HIPS）具有规则、监控以及拦截三方面的主要功能，一个妥善配置的HIPS，能够识别和记录用户行为，并且在无法判断的时候对用户做出询问，而后依据用户指令展开进一步的工作。

理论上，HIPS能够面向用户主机实现良好的防御，但是实际工作中，一方面HIPS需要自行展开对于软件系统和系统行为的判断，不能全部依赖于对于用户的询问；另一方面，用户本身可能会因为对计算机只是的缺乏，而对相关的询问请求实行误判，加之零日攻击会将攻击行为加以包装隐藏，表现成为合法的传输请求，混淆用户视听，因此这种判断实际上仍然存在不可靠之处，对于这一方面，唯有在HIPS的智能化方面加强建设，才能切实推动系统对零日攻击的抵御。