对抗零日漏洞的十年(2014~2024)
2024-10-26 22:54:0 Author: mp.weixin.qq.com(查看原文) 阅读量:22 收藏

一、引言

传统上,零日漏洞是指攻击者已知但防御者尚未发现或修复的软件漏洞。Project Zero认为,零日攻击不仅是一个技术问题,还涉及国家支持的攻击者、特定的高价值目标、庞大的漏洞交易市场,以及复杂的防御难题。传统定义不足以全面揭示攻击者、受害者、漏洞、防御者和软件厂商等多方的关系,而实际的攻击过程通常经过长期准备,隐蔽性极强,且对个人隐私及社会影响深远。为应对日益猖獗的零日攻击,2014年,Google成立了专门的漏洞研究团队Project Zero,致力于主动挖掘和披露零日漏洞,推动整个软件行业加强安全性,尽快修复漏洞。本文将回顾Project Zero成立十年来的工作历程,总结其在对抗零日漏洞方面的经验教训,并探讨未来的发展方向。


二、四大根源问题与Project Zero的应对

2.1 软件质量

软件质量差是导致大量零日漏洞的根本原因。2014年,许多流行软件产品代码质量较低,很容易发现可利用的漏洞。主要原因是软件开发者缺乏优先修复漏洞的意识和机制。为此,Project Zero通过持续的漏洞研究,揭示了现实中攻击者的真实能力,向软件厂商施加压力,推动其重视漏洞修复,改进代码质量。
Project Zero选择研究目标的原则是关注攻击者最常利用的软件组件。通过分析已知的零日攻击事件、漏洞利用工具的价格、内部人士提供的线索等多种渠道,锁定iOS、Android、Windows、Linux和主流浏览器等高风险目标,集中精力进行深入挖掘。
以Flash和浏览器为例,通过Project Zero等研究者的持续努力,大量Flash和浏览器漏洞被发现并报告,最终迫使Adobe废弃了Flash,主流浏览器厂商也不断加固,使其安全性得到显著提升。这表明,有针对性的漏洞研究能有效揭示软件薄弱环节,倒逼厂商加强防护。
不过,尽管近年来软件整体质量有所改善,但攻击者通过投入更多资源,仍能不断找到可利用的新漏洞。且不同目标系统的安全性参差不齐,像基带、Android驱动等特定组件的代码质量改进步伐明显滞后。同时,一些攻击者开始提供"漏洞利用即服务",即按成功入侵的设备数收费,大大降低了攻击门槛。显然,仅靠提高软件质量还不足以彻底阻止攻击者。

2.2 透明度

信息透明也是打击零日漏洞的关键。Project Zero的立场是,有效防御离不开对攻击手段的深入了解。但在2014年,业界普遍不愿公开披露漏洞细节,担心这些信息被攻击者利用。为挑战这一观念,Project Zero率先公开发布其发现的全部漏洞信息和分析文章,用实际行动证明透明共享的重要性。在其推动下,如今软件厂商逐渐接受了漏洞披露的理念,主动披露已修复漏洞的情况。
不过,目前业界公开的漏洞信息与内部掌握的情报仍存在很大差距。提高信息透明度,让更多防御者了解真实的攻击面貌,消除攻击者的信息优势,仍是今后的努力方向。

2.3 补丁质量

及时全面的漏洞修复是消除零日漏洞的必由之路。但过去,许多供应商对快速修复漏洞缺乏足够重视,经常耗时数年才完成修复。针对这一问题,Project Zero实施了90天限期披露政策,要求厂商在90天内完成修复,否则将公开发布漏洞细节。在其推动下,大多数主要软件厂商开始在90天内修复已知漏洞。
然而,目前仍有约40%的现实中零日攻击使用变种漏洞(variant vulnerabilities)。所谓变种漏洞是指新漏洞与此前已修复的漏洞高度相似。其大量存在表明厂商发布的补丁往往并不彻底,没有从根本上消除问题。为此,Project Zero建议开发者应重新审视历史漏洞,编写测试用例,确保问题真正得到解决。

此外,Android设备的补丁分发参差不齐,许多低成本机型得不到及时更新,也是亟待改善的问题。

2.4 缓解措施

除了修复漏洞,部署各种缓解措施也是抑制零日攻击的重要手段。不过在2014年,不少厂商盲目相信某个"银弹"式的终极缓解措施可以一劳永逸地防范一切漏洞利用,从而忽视了持续修复漏洞的根本之策。
为客观评估各种缓解措施的实际效果,Project Zero通过真刀真枪的漏洞利用测试,分析真实世界中的攻击样本,揭示它们如何绕过现有防护。例如,针对iMessage的研究推动苹果为其增加了代码隔离机制,提高了渗透难度。

如今,随着攻击者变得愈发狡猾,新的漏洞利用技术层出不穷,其价值甚至超过了漏洞本身。这对防御者提出了更高要求,单一的缓解措施很难奏效。内存标记等新一代缓解技术有望进一步增加漏洞利用难度,但它们只能作为安全计划的有益补充,而非替代品。

三、新问题:安全鸿沟

近年来,不同软件供应商的安全成熟度差异日益扩大,逐渐形成"安全鸿沟"。尤其是在那些非面向最终用户的中间件领域,代码质量和安全意识普遍偏低。这可能与激励机制失衡等因素有关。而恶意攻击者已嗅到商机,开始把目标对准安全能力较弱的软件供应商,加剧了这一问题。
四、结论
Project Zero十年的实践表明,有针对性的安全研究能发现软件漏洞,揭示攻击能力,推动业界重视并着手解决问题。不过,面对日益复杂的攻防态势,仅靠安全研究还远远不够。要从根本上终结"零日时代",最关键的是软件供应商要切实提高代码质量,加快漏洞响应,部署多层次防护,最重要的是要彻底消除已知缺陷。这需要企业在理念和实践层面作出改变,需要全行业的共同努力。
透明度也至关重要。分享和学习彼此的攻防经验,构建开放、可信的信息共享机制,才能消除攻击者的信息优势,为防御赢得先机。
站在新的十字路口,Project Zero将继续履行使命,以"永不止步"的韧劲,持续挖掘、分析、披露和应对最新的攻击威胁,为"零日漏洞"画上句号。同时,我们也呼吁整个软件行业以及社会各界携手同行,以更开放的心态、更务实的行动,携手应对"零日漏洞"这一严峻挑战,共同守护人们的数字生活。

推荐阅读

闲谈

  1. 中国网络安全行业出了什么问题?

  2. 国内威胁情报行业的五大“悲哀”

  3. 安全产品的终局

  4. 老板,安全不是成本部门!!!


威胁情报

1.威胁情报 - 最危险的网络安全工作
2.威胁情报专栏 | 威胁情报这十年(前传)
3.网络威胁情报的未来
4.情报内生?| 利用威胁情报平台落地网空杀伤链的七种方法
5.威胁情报专栏 | 特别策划 - 网空杀伤链

APT

  1. XZ计划中的后门手法 - “NOBUS”

  2. 十个常见的归因偏见(上)

  3. 抓APT的一点故事

  4. 揭秘三角行动(Operation Triangulation)一

  5. 闲话APT报告生产与消费

  6. 一名TAO黑客的网络安全之旅

  7. NSA TAO负责人警告私营部门不要搞“黑回去”

  8. 我们为什么没有抓到高端APT领导者的荷兰AIVD

  9. 抓NSA特种木马的方法


入侵分析与红队攻防

  1. 入侵分析与痛苦金字塔

  2. 资深红队专家谈EDR的工作原理与规避

  3. TTP威胁情报驱动威胁狩猎


天御智库

  1. 独家研判:五眼情报机构黑客纷纷浮出水面

  2. 美军前出狩猎并不孤单,美国网络外交局优先事项分析

  3. 《国际关系中的网络冲突》


文章来源: https://mp.weixin.qq.com/s?__biz=MzU0MzgyMzM2Nw==&mid=2247486036&idx=1&sn=52131d932e8fe4f24db3d7bdf41625a0&chksm=fb04c93ccc73402a24144d8262153a73bc18c2098109a9885d2413dba9a33af83f8d664bc317&scene=58&subscene=0#rd
如有侵权请联系:admin#unsafe.sh