2021年打破了零日黑客攻击的记录
大数据文摘转载自数据派THU
作者:Patrick Howell O'Neill
翻译:欧阳锦
编辑:黄继彦
校对:王可汗、李敏
零日漏洞是一种通过以前未知的漏洞发起网络攻击的方法,这可能是黑客拥有的最有价值的东西——一些漏洞在公开市场上的标价能够达到100万美元。
据多个数据库、研究人员和网络安全公司向《麻省理工科技评论》透露,今年内网络安全防御者捕获的漏洞数量创下了历史之最。根据零日漏洞追踪项目等数据库,今年至少发现了66个仍在使用中的零日漏洞——几乎是2020年总数的两倍,比记录中的其他任何年份都多。
制表: Patrick Howell O'Neill 来源:零日漏洞追踪项目
虽然这个创纪录的数字吸引了我们的注意,但是我们应该怎样看待它呢?这意味着现在正在使用中的零日漏洞比以往更多,还是防御者变得更擅长发现黑客了?
微软云安全副总裁Eric Doerr说:“可以肯定的是数量增加了。有趣的问题是,这意味着什么?天塌下来了吗?嗯,这很微妙'。”
导致零日漏洞报告率上升的其中一个原因是黑客工具在全球的迅速扩散。有权有势的团体把大量的资金投入到零日攻击中,为自己所用并获得了回报。
处于食物链顶端的是政府资助的黑客。美国网络安全公司FireEye Mandiant的漏洞和利用主管JaredSemrau说,仅中国就被怀疑需要对今年的9个零日事件负责。而且美国及其盟友显然拥有那些最先进的黑客能力,关于更积极地使用黑客工具的讨论也在增加。
Semrau说:"肯定有一些顶级的复杂间谍专家,正在以一种我们在过去几年中从未见过的方式在全力运作。
很少有人或组织能像北京和华盛顿一样拥有零日攻击的能力。大多数国家没有人才或基础设施在国内开发这些漏洞,因此他们只能去购买这样的漏洞。
现在比以往任何时候都更容易从不断增长的漏洞产业中购买零日漏洞。曾经昂贵得令人望而却步的高端产品现在也变得更容易购买了。
Semrau说:“我们看到这些国家集团去找NSO或Candiru,这些日益知名的服务让各国用财政资源换取进攻能力。阿拉伯联合酋长国、美国以及欧洲和亚洲大国都向开发行业投入了很多资金。”
而网络犯罪分子近年来也在利用零日攻击来赚钱,他们在软件中找到缺陷,使他们能够开展勒索软件计划。
Semrau说:“有经济动机的黑客比以往任何时候都要更复杂。我们最近追踪到的三分之一的零日事件可以直接追溯到有经济动机的黑客。因此,他们在这一增长中发挥了重要作用,虽然我认为很多人都没有对此给予肯定。”
虽然可能有越来越多的人在开发或购买零日程序,但报告的创纪录数量并不一定是一件坏事。实际上,一些专家说这可能是个好消息。
我们采访的人都不相信,在这么短的时间内,零日攻击的总数增加了一倍以上,只是被发现的数量增加了。这表示网络防御者正在变得更善于抓住黑客。
我们可以看看这些数据,比如谷歌的零日漏洞表格,它追踪了近十年来被抓获的重大黑客。
这一趋势可能反映出的一个变化是,用于网络防御的资金正在变多,特别是科技公司为发现新的零日漏洞而提出的更大的漏洞赏金和奖励。但是有更好的工具出现也是变化之一。
AzimuthSecurity公司的创始人Mark Dowd说:“防御者之前只能抓住相对简单的攻击,现在显然能够检测更复杂的黑客。我认为这表明检测复杂攻击的能力正在升级。”
谷歌的威胁分析小组(TAG)、卡巴斯基的全球研究与分析小组(GReAT)和微软的威胁情报中心(MSTIC)都拥有大量的人才、资源和数据。事实上,他们的能力可以与情报机构中检测和追踪对手的黑客相媲美。
像微软和CrowdStrike这样的公司也在大规模地开展检测工作。以前的工具,如杀毒软件,对异常活动的关注较少,而今天,一家大公司可以在数百万台机器上捕捉到一个小小的异常,然后追溯到用来可能存在的零日漏洞。
微软的Doerr说:“你现在看到更多漏洞的原因是我们发现了更多漏洞。我们擅长吸引公众的注意力。你可以从你所有的客户那里知道当下正在发生什么,这有助于你更快地变聪明。如果你发现了新的糟糕情况,这将只会影响一个客户而不是一万个客户。”
然而,现实比理论要混乱得多。今年早些时候,多个黑客组织对微软Exchange电子邮件服务器发起了攻势。起初只是一个关键的零日攻击,一开始是严重的零日攻击,但在修复程序可用后,在它实际应用于用户之前,情况变得更加糟糕。这个缺口是黑客喜欢攻击的最佳点。然而,作为一项理论,杜尔的观点是非常正确的。
即使零日攻击比以往任何时候都多,但有一个事实是所有专家都同意的:零日攻击越来越难,需要花费更多资源。
更完善的防御和更复杂的系统意味着黑客必须做更多尝试才能侵入目标——攻击的成本变得更高,需要更多资源。然而,作为回报,有如此多公司都在使用云服务,只需一个漏洞就可以让数百万客户受到攻击。
Doerr说:“十年前,当所有的东西都是在企业内部时,很多攻击只有某一家公司遇到,而且很少有公司有能力去了解到底发生了什么。”
面对不断改进的防御措施,黑客往往必须将多个漏洞综合起来,而不是只使用某一个漏洞。这些“漏洞链”需要更多的零日漏洞。成功发现这些“漏洞链”也是漏洞数字急剧上升的部分原因。
Dowd说,现在的黑客 "不得不通过这些一连串的漏洞来实现他们的目标,这意味着更多的投入和更大的风险"。
最有价值的漏洞的成本上升是一个重要信号。现有的有限数据,如Zerodium发布的零日价格,显示在过去三年中最高端黑客的成本上升了1150%之多。
但是,即使零日攻击更难,需求也已上升,供应也随之增加。天空可能不会塌下来,但也不会是一个完美的晴天。