我，TDP，正式官宣一個0day檢測新能力！

網絡安全圈最昂貴、最有殺傷力、且始終站在食物鏈頂端的攻擊方式，是什么？或者，你的企業武裝到牙齒的時候，你最怕遇到的，是什么？

你心中一定在疾呼：“0day，只有0day”。

0day漏洞為何物

大家潛意識里只把那些未知且沒有補丁，并能利用的安全漏洞，稱為0day漏洞。一旦軟件廠商發布安全補丁，安全圈子有了細節，那么這個漏洞就不再是0day了。所以有人說，0day的發布之日就是0day的滅亡之時。

而只要掌握目標服務的0day漏洞，黑客基本就可以為所欲為了。比如你有一個Word的0day，你可以利用將木馬和word進行綁定，利用社工和釣魚控制目標。再比如你有一個weblogic漏洞，你可以直接控制目標服務器。

黑客善于制造和利用信息的不對稱，而0day將這種不對稱發展到了極致。所以，那些擁有0day漏洞的黑客，自然也就站在食物鏈的頂端。這其中不僅因為0day潛伏性高，破壞性大，具有相當的稀缺性，更重要的是這些高質量的漏洞通常都價值不菲。在公開市場，0day漏洞根據重要性的不同，可賣到幾萬到幾百萬美元不等。

更為可怕的是，0day漏洞非常隱蔽，從產生到發現再到廠商修復漏洞可能會需要幾個月、幾年甚至更久。比如，MS17-010在公布之前黑客已經使用了將近十年了。

攻防演練之下，激增的0day漏洞攻擊

這里有一個我們都不太愿相信的事實：0day漏洞的數量近幾年在不斷增多。從谷歌“零項目”（Project Zero）的數據來看，國外2020年發現的在野利用0day漏洞為25個，2021年至少有66個，是2020年的兩倍多，比跟蹤調查這10年以來的任何一年都要多。

國內，作為所有關鍵基礎設施行業提升日常安全運營能力的重要手段，攻防演練近幾年越來越頻繁，攻防雙方的技戰術也不斷迭代與升級。紅隊作為攻擊方，從一開始的滲透，演進出了武器化、漏洞、滲透等不同領域的專業團隊，分工越來越細化和明確，對防守方的攻擊效率大大提升，漏洞的挖掘也更有針對性。

而0day漏洞這樣一個威力巨大的攻擊能力，則更是加大了攻防雙方實力的不平衡。不論是Windows還是Linux, Wordpress還是vBulltin, 國外各大知名軟件廠商都是經歷了一次又一次"黑客洗禮"的產品。而國內軟件廠商當前仍處于不斷成熟的階段，還沒有經歷這個刀光劍影腥風血雨的過程，自然會暴露更多問題。

尤其是供應鏈攻擊的泛濫和成熟，攻擊隊只需要找到企業長期使用的某個軟件的漏洞，就能輕而易舉地打進企業內部網絡，讓防守方的防御體系瞬間瓦解。越來越強調對抗與實戰的攻防演練之中，0day漏洞變得越來越關鍵了。

TDP新增的0day檢測能力

0day漏洞是不易檢測的，所有的安全產品的檢測都是基于“已知”的。目前業內能檢測“未知”0day的大多是文件型漏洞，如PDF、Word、Excel， 對基于流量的0-click漏洞依然束手無策。

也有企業期望通過“已知”推演“未知”，就有了TDP前不久挑戰賽中的通用檢測和機器學習。但這些都不能解決100%的捕捉未知0day的困難。

面對這樣的現狀，我們有了一個大膽的想法：“重金收購0day，然后把收到的高價值0day放入我們NDR檢測的能力中”。我們利用X情報社區從安全研究員、紅隊、黑客手里收集近百個影響范圍廣、危害大，且紅隊利用率極高的0day漏洞，實現高危0day的全面覆蓋，并將應用于TDP的檢測能力中，結合TDP的阻斷能力，能做到檢測0day并即時阻斷的效果！

不僅如此，對于這些漏洞，我們陸續也會通知對應廠商，建議進行及時修復。同時，我們也希望能夠通過TDP對0day漏洞的準確檢測能力，幫助更多企業提升威脅發現與攻防演練實戰效果，提高各行業整體的安全檢測與防御水平。