微步新闻 > 正文
TDP官宣0day检测新能力
2022-06-09 12:00:00 来源: 微步新闻

网络安全圈最昂贵、最有杀伤力、且始终站在食物链顶端的攻击方式,是什么?或者,你的企业武装到牙齿的时候,你最怕遇到的,是什么?

你心中一定在疾呼:“0day,只有0day”。

0day漏洞为何物

大家潜意识里只把那些未知且没有补丁,并能利用的安全漏洞,称为0day漏洞。一旦软件厂商发布安全补丁,安全圈子有了细节,那么这个漏洞就不再是0day了。所以有人说,0day的发布之日就是0day的灭亡之时。

而只要掌握目标服务的0day漏洞,黑客基本就可以为所欲为了。比如你有一个Word的0day,你可以利用将木马和word进行绑定,利用社工和钓鱼控制目标。再比如你有一个weblogic漏洞,你可以直接控制目标服务器。

黑客善于制造和利用信息的不对称,而0day将这种不对称发展到了极致。所以,那些拥有0day漏洞的黑客,自然也就站在食物链的顶端。这其中不仅因为0day潜伏性高,破坏性大,具有相当的稀缺性,更重要的是这些高质量的漏洞通常都价值不菲。在公开市场,0day漏洞根据重要性的不同,可卖到几万到几百万美元不等。

更为可怕的是,0day漏洞非常隐蔽,从产生到发现再到厂商修复漏洞可能会需要几个月、几年甚至更久。比如,MS17-010在公布之前黑客已经使用了将近十年了。

攻防演练之下,激增的0day漏洞攻击

这里有一个我们都不太愿相信的事实:0day漏洞的数量近几年在不断增多。从谷歌“零项目”(Project Zero)的数据来看,国外2020年发现的在野利用0day漏洞为25个,2021年至少有66个,是2020年的两倍多,比跟踪调查这10年以来的任何一年都要多。

国内,作为所有关键基础设施行业提升日常安全运营能力的重要手段,攻防演练近几年越来越频繁,攻防双方的技战术也不断迭代与升级。红队作为攻击方,从一开始的渗透,演进出了武器化、漏洞、渗透等不同领域的专业团队,分工越来越细化和明确,对防守方的攻击效率大大提升,漏洞的挖掘也更有针对性。

而0day漏洞这样一个威力巨大的攻击能力,则更是加大了攻防双方实力的不平衡。不论是Windows还是Linux, Wordpress还是vBulltin, 国外各大知名软件厂商都是经历了一次又一次"黑客洗礼"的产品。而国内软件厂商当前仍处于不断成熟的阶段,还没有经历这个刀光剑影腥风血雨的过程,自然会暴露更多问题。

尤其是供应链攻击的泛滥和成熟,攻击队只需要找到企业长期使用的某个软件的漏洞,就能轻而易举地打进企业内部网络,让防守方的防御体系瞬间瓦解。越来越强调对抗与实战的攻防演练之中,0day漏洞变得越来越关键了。

TDP新增的0day检测能力

0day漏洞是不易检测的,所有的安全产品的检测都是基于“已知”的。目前业内能检测“未知”0day的大多是文件型漏洞,如PDF、Word、Excel, 对基于流量的0-click漏洞依然束手无策。

也有企业期望通过“已知”推演“未知”,就有了TDP前不久挑战赛中的通用检测和机器学习。但这些都不能解决100%的捕捉未知0day的困难。

面对这样的现状,我们有了一个大胆的想法:“重金收购0day,然后把收到的高价值0day放入我们NDR检测的能力中”。我们利用X情报社区从安全研究员、红队、黑客手里收集近百个影响范围广、危害大,且红队利用率极高的0day漏洞,实现高危0day的全面覆盖,并将应用于TDP的检测能力中,结合TDP的阻断能力,能做到检测0day并即时阻断的效果

不仅如此,对于这些漏洞,我们陆续也会通知对应厂商,建议进行及时修复。同时,我们也希望能够通过TDP对0day漏洞的准确检测能力,帮助更多企业提升威胁发现与攻防演练实战效果,提高各行业整体的安全检测与防御水平。

立即体验

微步安全产品及服务

服务热线:400-030-1051