0 day也許沒有想象中可怕

我們不知道自己的盲點，這是困擾安全團隊的典型問題，也是0 day漏洞能夠掀起軒然大波的關鍵原因。0 day漏洞是威脅行為者的“利器”，創造了宕機和恐慌的完美“風暴”。

作為攻擊一方“拋出”的意外因素，0 day漏洞可謂是一種令人望而生畏的存在，安全團隊時常會感到完全不知所措，但這并不意味著沒有可行措施來為此類威脅做好準備。事實上，這些攻擊與更廣為人知的策略沒有太大區別，不需要特殊處理——只要正確的安全基礎到位。

 扎實安全基礎

就其核心而言，0 day與大多數其他攻擊具有相同的最終目標。威脅行為者利用安全漏洞獲取訪問權限，但這只是最初的立足點，真正的損害在他們進入系統后才會顯現。一旦文件被加密，數據被泄露并且被索要贖金，安全團隊需要擔心的事情就會變得更多。但如果事情從來沒有達到那個地步呢？為了實現這一點，安全團隊必須確保組織的安全態勢能夠減輕0 day漏洞的影響。

應急響應計劃、系統和軟件清單、持續掃描和監控、分段和桌面練習等基本安全實踐和工具，都是安全團隊應該已經部署到位的關鍵要素。如果沒有這些基本的最佳實踐，事情可能會隨著攻擊者創建管理員帳戶、在系統內橫向移動并觸發廣泛的安全噩夢而愈演愈烈。

 不是“如果”，而是“當”

準備工作的一部分意味著在攻擊的可能性方面設定現實的期望。雖然沒有人希望發生網絡攻擊，但一個組織遲早會經歷一次。這就是為什么做好準備是值得的。

組織需要從“預防思維”轉變為“彈性理念”，因為歸根結底，我們不可能阻止每一次攻擊的發生，尤其是面對0 day。雖然阻止這些攻擊可能是不可能的，但減輕它們還是完全可能的。計劃是一個關鍵因素，做好準備能夠讓業務領導者和安全團隊都放心，因為他們知道如何在時機成熟時采取相應地措施來處理威脅。

首要的，安全團隊必須確定他們是否容易受到特定漏洞的攻擊。如果組織的防御者擁有準確且更新的系統和軟件清單以及組織的攻擊面意識，這一點應該很容易。舉個例子：Log4Shell 漏洞的嚴重程度仍然未知，因為安全團隊還繼續在他們的資產中發現Log4j。有了這種意識，安全團隊可以在緩解措施發布時及時做出響應。

如果軟件或系統已遭入侵，考慮到漏洞的未知性質，識別初始攻擊向量會更具挑戰性。不過，即便無法立即確定出攻擊來源，但仍有一些方法可以防止完全喪失控制權。這也是計劃對于指導人員進行下一步的關鍵所在。通過適當的控制以及計劃，組織可以根據情況實現安全最優化。

 矢志不移：良好的基礎還有很長的路要走

從本質上講，0 day漏洞給安全團隊和業務人員帶來了很多不確定感。不過，與其專注于可以做些什么來阻止它的發生，倒不如將更有價值的時間和資源用于確保企業資產的有限“曝光”。無論攻擊最初是如何發生的，良好的安全實踐都很重要。

例如，在減輕網絡攻擊方面，實用性和準備都是缺一不可的。隨著網絡安全人才持續短缺，監控和響應每個警報變得更具挑戰性。攻擊者已經在0 day中占據上風，這就是強大的事件響應程序可以幫助團隊有效且高效地利用資源以最大限度減少損失的原因所在。

參考及來源：https://www.helpnetsecurity.com/2022/03/22/zero-day-exploits/