2021年零日漏洞數量創新記錄

2021年，零日漏洞的數量增長了一倍，價格增長了十倍，但攻擊回報增長了百倍！

零日漏洞利用，即通過以前未知的漏洞發起網絡攻擊的方式，是黑客手中最有價值的武器，因為這些漏洞在公開市場上的價格很輕松就能超過100萬美元。

近日，麻省理工科技評論走訪了多個數據庫、安全研究人員和網絡安全公司，發現今年網絡安全防御者的人數達到了有史以來的最高水平，但零日漏洞的數量也創下了新的記錄。

根據零日漏洞追蹤項目的統計（下圖），2021年至今至少發現了66個零日漏洞，幾乎是2020年總數的兩倍，比有記錄的任何一年都多。

雖然創紀錄的數字引起了人們的注意，但很少有人知道這意味著什么。這是否意味著零日漏洞的利用也比以往任何時候都多？還是防御者更擅長抓住他們以前會漏掉的黑客？

微軟云安全副總裁Eric Doerr說：“零日漏洞確實在增長。” “有趣的問題是，這意味著什么？天要塌了嗎？也許，事情比想象的要微妙。”

黑客正在“全力以赴”

零日漏洞報告率較高的一個原因是黑客工具在全球范圍內迅速擴散。

此外，強大的團體都在向零日內投入大量資金以供自己使用——他們正在收獲回報。

處于食物鏈頂端的是政府資助的黑客。美國網絡安全公司FireEye Mandiant的漏洞和利用主管賈里德·塞姆勞(Jared Semrau)表示，美國及其盟國顯然擁有一些最復雜的黑客能力，并且越來越多地談論更積極地使用這些（零日漏洞利用）工具。

Semrau說：“我們（美國）擁有一流的高級間諜，他們肯定以我們過去幾年從未見過的方式全力運作。想要零日漏洞的國家很多，但大多不具備中美的實力，因此他們改為購買它們。”

從不斷增長的漏洞利用公開市場購買零日漏洞比以往任何時候都容易。曾經非常昂貴和高端的漏洞和工具現在更容易獲得。

“我們看到很多國家或集團選擇從NSO或Candiru購買，二者日益知名的黑客技術服務讓各國可以用金融資源來換取進攻能力，”Semrau說。阿拉伯聯合酋長國、美國以及歐洲和一些亞洲強國都向此領域投入了大量資金。

而網絡犯罪分子，也已使用零日攻擊賺錢——發現軟件缺陷，然后部署高額勒索計劃。

“有經濟動機的攻擊者比以往任何時候都更加老練，”Semrau說。“我們最近追蹤的零日事件中有三分之一可以直接追溯到有經濟動機的行為者。因此，他們在這一增長中發揮了重要作用，我認為很多人并沒有對此給予足夠的重視。”

網絡防御正變得高效

雖然可能有越來越多的人開發或購買零日漏洞，但被發現的零日漏洞數量創紀錄并不一定是壞事。事實上，一些安全專家表示，這可能主要是好消息。

在如此短的時間內，零日漏洞攻擊的總數增加了一倍多（還只是被捕獲的數量），表明網絡防御者越來越善于在行動中抓住黑客。

這一趨勢可能反映出的一個變化是，有更多資金可用于防御，尤其是來自科技公司為發現新的零日漏洞而提出的更大的漏洞賞金和獎勵。但也有更好的工具。

Azimuth Security的創始人Mark Dowd表示，防御者顯然已經從只能捕獲相對簡單的攻擊進化到能夠檢測更復雜的黑客攻擊。“我認為這意味著檢測更復雜攻擊的能力有所提升，”他說。

谷歌的威脅分析小組(TAG)、卡巴斯基的全球研究與分析團隊(GReAT)和微軟的威脅情報中心(MSTIC)等組織擁有大量的人才、資源和數據——事實上，他們可以與情報機構檢測和跟蹤對手黑客的能力。

微軟和CrowdStrike等公司都在大規模運行檢測工作。舊工具（例如防病毒軟件）對異常活動的關注較少，而今天，一家大公司可以在數百萬臺機器上捕獲一個小的異常，然后將其追溯到用于入侵的零日漏洞。

然而，現實比理論要混亂得多。今年早些時候，多個黑客組織發起了針對Microsoft Exchange電子郵件服務器的攻勢。在漏洞補丁發布到用戶部署的這段窗口期大量黑客攻擊成功實施了零日攻擊，而這個窗口期也成了黑客最喜歡的甜蜜點。

漏洞利用變得越來越難，越來越有價值

即使曝光的零日漏洞數量激增，但所有安全專家都同意一個事實：它們越來越難以利用，成本也越來越高。

更好的防御和更復雜的IT系統意味著黑客必須比十年前做更多的工作才能侵入目標，這意味著攻擊成本更高，需要更多資源。然而，回報是，由于有如此多的公司在云中運營，一個漏洞可能會讓數百萬客戶面臨攻擊。

“十年前，當一切IT系統都在企業內部運行，很多攻擊只有被入侵的公司才能看到，”Doerr說，“而且很少有公司能夠了解正在發生的事情。”

面對改進的防御，黑客通常必須將多個漏洞組合利用，而不是只使用一個。這種“漏洞利用鏈”需要更多的零日漏洞。成功發現這些“利用鏈”也是零日漏洞曝光數量激增的部分原因。

如今，Dowd表示，攻擊者“必須通過擁有這樣的利用鏈來實現他們的目標，這意味著需要在零日漏洞上進行更多投資并承擔更多風險。”

一個重要信號是，最有價值的漏洞利用成本的飆升。根據有限的可用數據（例如Zerodium上公開的零日漏洞價格）過去三年中，最高端的零日攻擊成本上漲了1,150%。

但即使零日漏洞攻擊更加困難，成本飆升，但由于需求也快速增長，零日漏洞的供應依然能保持增長。對于安全防御者來說，2021年天可能不會塌下來，但也不會是晴天。