独家 | 2021年打破了零日黑客攻击的记录

共 3158字，需浏览 7分钟

· 2021-10-16

作者：Patrick Howell O'Neill
翻译：欧阳锦
校对：王可汗

本文约2000字，建议阅读6分钟
本文为大家介绍了2021年发现的零日漏洞以及零日攻击，对零日漏洞的现状进行了简单分析，并给出了对未来零日攻击的预测。

利用零日漏洞攻击计算机

零日漏洞是一种通过以前未知的漏洞发起网络攻击的方法，这可能是黑客拥有的最有价值的东西——一些漏洞在公开市场上的标价能够达到100万美元。

据多个数据库、研究人员和网络安全公司向《麻省理工科技评论》透露，今年内网络安全防御者捕获的漏洞数量创下了历史之最。根据零日漏洞追踪项目等数据库，今年至少发现了66个仍在使用中的零日漏洞——几乎是2020年总数的两倍，比记录中的其他任何年份都多。

制表: Patrick Howell O'Neill 来源：零日漏洞追踪项目

虽然这个创纪录的数字吸引了我们的注意，但是我们应该怎样看待它呢？这意味着现在正在使用中的零日漏洞比以往更多，还是防御者变得更擅长发现黑客了？

微软云安全副总裁Eric Doerr说：“可以肯定的是数量增加了。有趣的问题是，这意味着什么？天塌下来了吗？嗯，这很微妙'。”

黑客们正在“全力以赴”

导致零日漏洞报告率上升的其中一个原因是黑客工具在全球的迅速扩散。有权有势的团体把大量的资金投入到零日攻击中，为自己所用并获得了回报。

处于食物链顶端的是政府资助的黑客。美国网络安全公司FireEye Mandiant的漏洞和利用主管JaredSemrau说，仅中国就被怀疑需要对今年的9个零日事件负责。而且美国及其盟友显然拥有那些最先进的黑客能力，关于更积极地使用黑客工具的讨论也在增加。

Semrau说："肯定有一些顶级的复杂间谍专家，正在以一种我们在过去几年中从未见过的方式在全力运作。

很少有人或组织能像北京和华盛顿一样拥有零日攻击的能力。大多数国家没有人才或基础设施在国内开发这些漏洞，因此他们只能去购买这样的漏洞。

现在比以往任何时候都更容易从不断增长的漏洞产业中购买零日漏洞。曾经昂贵得令人望而却步的高端产品现在也变得更容易购买了。

Semrau说：“我们看到这些国家集团去找NSO或Candiru，这些日益知名的服务让各国用财政资源换取进攻能力。阿拉伯联合酋长国、美国以及欧洲和亚洲大国都向开发行业投入了很多资金。”

而网络犯罪分子近年来也在利用零日攻击来赚钱，他们在软件中找到缺陷，使他们能够开展勒索软件计划。

Semrau说：“有经济动机的黑客比以往任何时候都要更复杂。我们最近追踪到的三分之一的零日事件可以直接追溯到有经济动机的黑客。因此，他们在这一增长中发挥了重要作用，虽然我认为很多人都没有对此给予肯定。”

网络防御者得到了更好的关注

虽然可能有越来越多的人在开发或购买零日程序，但报告的创纪录数量并不一定是一件坏事。实际上，一些专家说这可能是个好消息。

我们采访的人都不相信，在这么短的时间内，零日攻击的总数增加了一倍以上，只是被发现的数量增加了。这表示网络防御者正在变得更善于抓住黑客。

我们可以看看这些数据，比如谷歌的零日漏洞表格，它追踪了近十年来被抓获的重大黑客。

这一趋势可能反映出的一个变化是，用于网络防御的资金正在变多，特别是科技公司为发现新的零日漏洞而提出的更大的漏洞赏金和奖励。但是有更好的工具出现也是变化之一。

AzimuthSecurity公司的创始人Mark Dowd说：“防御者之前只能抓住相对简单的攻击，现在显然能够检测更复杂的黑客。我认为这表明检测复杂攻击的能力正在升级。”

谷歌的威胁分析小组（TAG）、卡巴斯基的全球研究与分析小组（GReAT）和微软的威胁情报中心（MSTIC）都拥有大量的人才、资源和数据。事实上，他们的能力可以与情报机构中检测和追踪对手的黑客相媲美。

像微软和CrowdStrike这样的公司也在大规模地开展检测工作。以前的工具，如杀毒软件，对异常活动的关注较少，而今天，一家大公司可以在数百万台机器上捕捉到一个小小的异常，然后追溯到用来可能存在的零日漏洞。

微软的Doerr说：“你现在看到更多漏洞的原因是我们发现了更多漏洞。我们擅长吸引公众的注意力。你可以从你所有的客户那里知道当下正在发生什么，这有助于你更快地变聪明。如果你发现了新的糟糕情况，这将只会影响一个客户而不是一万个客户。”

然而，现实比理论要混乱得多。今年早些时候，多个黑客组织对微软Exchange电子邮件服务器发起了攻势。起初只是一个关键的零日攻击，一开始是严重的零日攻击，但在修复程序可用后，在它实际应用于用户之前，情况变得更加糟糕。这个缺口是黑客喜欢攻击的最佳点。然而，作为一项理论，杜尔的观点是非常正确的。

漏洞越来越难发现，也越来越昂贵

即使零日攻击比以往任何时候都多，但有一个事实是所有专家都同意的：零日攻击越来越难，需要花费更多资源。

更完善的防御和更复杂的系统意味着黑客必须做更多尝试才能侵入目标——攻击的成本变得更高，需要更多资源。然而，作为回报，有如此多公司都在使用云服务，只需一个漏洞就可以让数百万客户受到攻击。

Doerr说：“十年前，当所有的东西都是在企业内部时，很多攻击只有某一家公司遇到，而且很少有公司有能力去了解到底发生了什么。”

面对不断改进的防御措施，黑客往往必须将多个漏洞综合起来，而不是只使用某一个漏洞。这些“漏洞链”需要更多的零日漏洞。成功发现这些“漏洞链”也是漏洞数字急剧上升的部分原因。

Dowd说，现在的黑客 "不得不通过这些一连串的漏洞来实现他们的目标，这意味着更多的投入和更大的风险"。

最有价值的漏洞的成本上升是一个重要信号。现有的有限数据，如Zerodium发布的零日价格，显示在过去三年中最高端黑客的成本上升了1150%之多。

但是，即使零日攻击更难，需求也已上升，供应也随之增加。天空可能不会塌下来，但也不会是一个完美的晴天。

原文标题：

2021 has broken the record forzero-day hacking attacks

原文链接：

https://outline.com/JfuVKn

编辑：黄继彦

校对：李敏

译者简介

王可汗，清华大学机械工程系直博生在读。曾经有着物理专业的知识背景，研究生期间对数据科学产生浓厚兴趣，对机器学习AI充满好奇。期待着在科研道路上，人工智能与机械工程、计算物理碰撞出别样的火花。希望结交朋友分享更多数据科学的故事，用数据科学的思维看待世界。

翻译组招募信息

工作内容：需要一颗细致的心，将选取好的外文文章翻译成流畅的中文。如果你是数据科学/统计学/计算机类的留学生，或在海外从事相关工作，或对自己外语水平有信心的朋友欢迎加入翻译小组。

你能得到：定期的翻译培训提高志愿者的翻译水平，提高对于数据科学前沿的认知，海外的朋友可以和国内技术应用发展保持联系，THU数据派产学研的背景为志愿者带来好的发展机遇。

其他福利：来自于名企的数据科学工作者，北大清华以及海外等名校学生他们都将成为你在翻译小组的伙伴。

点击文末“阅读原文”加入数据派团队~

转载须知

如需转载，请在开篇显著位置注明作者和出处（转自：数据派ID：DatapiTHU），并在文章结尾放置数据派醒目二维码。有原创标识文章，请发送【文章名称-待授权公众号名称及ID】至联系邮箱，申请白名单授权并按要求编辑。

发布后请将链接反馈至联系邮箱（见下方）。未经许可的转载以及改编者，我们将依法追究其法律责任。

点击“阅读原文”拥抱组织

图片

表情

真高！比亚迪员工爆料比亚迪在越南的薪资水平：基本工资480万，全勤奖35万，交通补助20万，餐补110万，每周6天，每天10小时

上一篇：某大公司为逼迫员工离职，竟然把他的工位安排到厕所旁，没想到他直接开始记录领导的如厕时间，还发到公司大群...对此，你怎么看？--完--PS：欢迎在留言区留下你的观点，一起讨论提高。如果今天的文章让你有新的启发，欢迎转发分享给更多人。全文完，感谢你的耐心阅读。如果你还想看到我的文章，请一定给本

开发者全社区

太敢穿了！透视纱裙！性感火辣的身材

绝了呀今天的厂花：吴宣仪1995年1月26日，吴宣仪出生于海南省海口市，中国内地流行乐女歌手、影视演员。2016年2月，吴宣仪随宇宙少女发行首张迷你专辑正式出道。2018年4月，她参加《创造101》综艺选秀，获得第二名，成功加入火箭少女101组合。吴宣仪的颜值一直备受称赞，她的五官立体精致，皮肤白皙

逆锋起笔

某大公司为逼迫员工离职，竟然把他的工位安排到厕所旁，没想到他直接开始记录领导的如厕时间，还发到公司大群...

上一篇：字节的跳动职级与薪资（2024年）我们与公司间的合作，宛如两艘船只在茫茫大海上相互依靠，共同抵御风浪，携手驶向成功的彼岸。然而，当航向开始产生分歧，或是波涛汹涌的风浪改变了我们的初衷，我们或许应当冷静地选择和平分手，而非在风雨中硬撑。最近，一位网友的遭遇引起了广大职场人的关注和热议。这位网友

开发者全社区

金融研究 | 使用Python测量关键审计事项的「信息含量」

Tips: 公众号推送后内容只能更改一次，且只能改20字符。如果内容出问题，或者想更新内容，只能重复推送。为了更好的阅读体验，建议阅读本文博客版，链接地址https://textdata.cn/blog/2023-01-13-information-content-of-critical-aud

大邓和他的Python

我看阿里的年终奖总算发了！

到4月底了，这两天看朋友圈，发现阿里的年终奖终于发了，问了问老同学，也从网上检索了不少信息，基本搞清楚了阿里今年的年终奖情况。近来来阿里一些集团对绩效等级做了较大的调整，以前的旧绩效系统中，绩效分为3.25、3.5、3.75、4和5五个等级，其中4和5是较高绩效等级，较少见。而且之前3.5绩效内部划

公子龙

CVPR 2024｜大视觉模型的开山之作！无需任何语言数据即可打造大视觉模型

↑ 点击蓝字关注极市平台作者丨科技猛兽编辑丨极市平台极市导读本文提出一种序列建模 (sequential modeling) 的方法，不使用任何语言数据，训练大视觉模型。>>加入极市CV技术交流群，走在计算机视觉的最前沿本文目录1 序列建模打造大视觉模型(来自 U

极市平台

金融研究(更新) | 使用Python构建关键审计事项的「信息含量」

大邓和他的Python

字节的跳动职级与薪资（2024年）

上一篇：阿里公布年终奖，P7, 3.5+，22W年终奖，还有35W长期现金激励，真香字节跳动自2012年3月成立以来，已经迅速成长为一个全球性的科技公司。其产品和服务已经遍布全球150多个国家与地区，并且支持超过75种不同的语言。在字节跳动的官方网站上，列出了一系列引人注目的产品和服务，包括但不限于

开发者全社区

国宝级神颜！来自新疆的美人

安排今天的厂花：佟丽娅1983年8月8日，佟丽娅出生于新疆伊犁察布查尔，中国内地影视女演员，舞蹈员。2000年，佟丽娅成为了新疆歌舞团的舞蹈演员，2004年，进入中国歌舞团担任舞蹈演员。丫丫的颜值，相信绝对是收割了一大波粉丝新疆的美女绝对称得上惊艳，迪丽热巴、古力娜扎，而佟丽娅却是美得像另一个境界。

逆锋起笔

盘点Lombok的几个骚操作，你绝对没用过！

👉 欢迎加入小哈的星球，你将获得: 专属的项目实战 / Java 学习路线 / 一对一提问 / 学习打卡 / 赠书福利全栈前后端分离博客项目 2.0 版本完结啦，演示链接：http://116.62.199.48/ ，新项目正在酝酿中

小哈学Java