Thuật ngữ “zero day” khá phổ biến trong thế giới an ninh mạng. Các công ty công nghệ hàng đầu từ Microsoft, Google đến Apple đã phải sửa lỗi zero-day trong những tháng gần đây, nhưng điều đó có nghĩa là gì? Sau đây chúng tôi sẽ giải thích cách chúng hoạt động và cách bảo vệ bạn.
Tại sao nó được gọi là zero day?
Thuật ngữ “ngày không” đề cập đến một lỗ hổng tồn tại trong tự nhiên mà nhà sản xuất phần mềm không biết, khiến nó dễ bị tấn công. Một khi họ phát hiện ra một vấn đề, họ có “số ngày không” để khắc phục vì họ đã gặp nguy hiểm. Có ba cách chính để nghĩ về Day Zero như một công ty phần mềm bảo mật, Kaspersky. Ghi chú:
-
Zero Day Vulnerability: Một lỗ hổng phần mềm có thể bị khai thác và phát hiện bởi những kẻ tấn công trước khi nhà sản xuất biết về nó.
-
Zero Day Exploit: Một kỹ thuật mà kẻ tấn công sử dụng để truy cập vào hệ thống sử dụng lỗ hổng zero day này.
-
Cuộc tấn công ngày 0: Khi những kẻ tấn công sử dụng cách khai thác ngày 0 để xâm nhập vào hệ thống nhằm đánh cắp dữ liệu hoặc gây ra thiệt hại.
Vì vậy, một lỗ hổng là một điểm yếu, một khai thác là một phương pháp mà những kẻ tấn công sử dụng để xâm nhập và một cuộc tấn công là khi những kẻ tấn công sử dụng lỗ hổng đó để gây ra thiệt hại. Các thuật ngữ đôi khi được sử dụng thay thế cho nhau, nhưng chúng không hoàn toàn giống nhau.
Các cuộc tấn công zero-day hoạt động như thế nào?
Ngay cả khi các nhà phát triển và nhà cung cấp phần mềm siêng năng kiểm tra sản phẩm của họ để tìm lỗi, lỗi vẫn xảy ra và những kẻ tấn công luôn chăm chỉ tìm kiếm các điểm yếu hoặc kẽ hở mà chúng có thể khai thác để làm lợi thế.
Một khi kẻ tấn công mạng tìm thấy lỗ hổng này, chúng có thể viết một đoạn mã để khai thác nó. Mã này là gì và tác dụng của nó sẽ phụ thuộc vào loại lỗ hổng được tìm thấy. Đôi khi những kẻ tấn công có thể truy cập vào hệ thống chỉ bằng cách sử dụng khai thác zero-day. Nếu họ không thể, họ sẽ cố gắng lừa ai đó để họ vào.
Những kẻ tấn công mạng thường làm điều này thông qua kỹ thuật xã hội, các phương pháp đánh vào tâm lý con người để khiến họ mất cảnh giác. Lừa đảo lừa đảo, gửi tin nhắn đe dọa để khiến mọi người sợ hãi thực hiện một hành động mong muốn, là một ví dụ điển hình của kỹ thuật xã hội. Ví dụ: một email giả mạo có vẻ như được gửi từ ngân hàng của bạn cho bạn biết rằng tài khoản của bạn đã bị tấn công và nhắc bạn “nhấp vào đây để xác minh chi tiết tài khoản của bạn.” Kỹ thuật xã hội được sử dụng trong hầu hết mọi loại tấn công mạng, từ lừa đảo phần mềm độc hại đến tấn công USB, bởi vì nó hoạt động thường xuyên để trở nên hữu ích.
Một lỗ hổng zero-day có thể tồn tại trong nhiều tháng trước khi được phát hiện. Trong thời gian này, những kẻ tấn công có thể thoát khỏi việc ăn cắp hoặc sao chép dữ liệu và làm hỏng các hệ thống nhạy cảm cho đến khi nhà cung cấp phần mềm triển khai bản sửa lỗi.
Những kẻ tấn công thường bán thông tin về lỗ hổng zero-day trên dark web với số tiền lớn. Miễn là những người duy nhất biết về những khai thác này là những kẻ tấn công, chúng vẫn là một mối đe dọa.
Các cuộc tấn công Zero-day có thể phá hủy nhiều hơn mật khẩu email hoặc thậm chí dữ liệu ngân hàng. Các mục tiêu bao gồm từ mật khẩu và thông tin cá nhân đến các lỗ hổng trong các thiết bị được kết nối IoT.
Các cuộc tấn công zero-day được phát hiện như thế nào?
Tin tốt là không chỉ có những hacker độc hại đang tìm kiếm những điểm yếu này. Các công ty phần mềm và công nghệ thường thuê các hacker mũ trắng hoặc mũ xám để quét hệ thống của họ để phát hiện các cuộc tấn công và tìm ra các lỗ hổng trước khi sản phẩm của họ tung ra thị trường.
Sau khi được phát hiện, các lỗ hổng này được đăng lên các diễn đàn công khai để các chuyên gia trong ngành xem xét. Một số nhà cung cấp bên thứ ba cũng thu thập và phân phối các lỗ hổng. Chi nhánh phân tích đám mây của Cisco, được gọi là Talos Intelligence, là một trong những công ty liệt kê các lỗ hổng do người dùng báo cáo, bao gồm 0 ngày, trên trang web của bạn. Kênh học tập CNTT trên YouTube CBT Nuggets trình bày chi tiết về vấn đề này trong một trong những video của họ.
Các công ty công nghệ cũng trả tiền thưởng cho các tin tặc hoặc nhà nghiên cứu độc lập phát hiện ra lỗ hổng trong sản phẩm của họ. Các chương trình này khuyến khích các tin tặc lành nghề liên tục kiểm tra hệ thống hoặc phần mềm và sau đó báo cáo kết quả lại cho nhà phát triển.
Các mối đe dọa Zero-day rất khó bị phát hiện vì thông tin về chúng chỉ được công khai sau khi chúng được phát hiện, và thường chúng chỉ được phát hiện sau một cuộc tấn công. Bằng chứng này có thể là thiếu dữ liệu, lỗi trong hệ thống, thuật toán hoạt động sai hoặc thiếu mã hóa.
Được giới thiệu bởi các biên tập viên của chúng tôi
Bằng chứng về các cuộc tấn công zero-day cũng có thể ở dạng lưu lượng truy cập bất ngờ hoặc hoạt động thu thập thông tin. Ví dụ: nếu một hệ thống đã bị xâm nhập và bí mật gửi dữ liệu trở lại nguồn của cuộc tấn công, bạn có thể thấy lưu lượng truy cập trên máy chủ cao hơn bình thường.
Kaspersky Lab lưu ý rằng sự kết hợp của cơ sở dữ liệu phần mềm độc hại hiện có, quan sát hành vi hệ thống lạ và học máy thường được sử dụng để phát hiện các mối đe dọa zero-day mới. Thông tin về hành vi trước đây của phần mềm độc hại và các tương tác trong quá khứ với hệ thống được sử dụng để xác định xem có điều gì đáng ngờ và cần được gắn cờ để điều tra hay không. Đặc biệt, trí tuệ nhân tạo có thể xử lý một lượng lớn dữ liệu, tạo cho nó một nền tảng vững chắc để sử dụng chống lại các mối đe dọa mới.
Làm thế nào bạn có thể bảo vệ mình khỏi các cuộc tấn công zero-day?
Bản chất của các cuộc tấn công zero-day khiến bạn khó chống lại chúng, nhưng bạn có thể tự bảo vệ mình ở một mức độ nào đó. Trước tiên, hãy cập nhật tất cả các hệ thống và phần mềm của bạn. Vào năm 2017, các cuộc tấn công bằng mã độc tống tiền WannaCry được kích hoạt bởi danh sách các lỗ hổng bị đánh cắp trong hệ thống của Microsoft, nhiều lỗ hổng trong số đó có thể được bảo vệ bằng cách tải xuống bản cập nhật miễn phí. Vì vậy, nếu hấp dẫn như vậy, đừng nhấn “nhắc nhở tôi sau”.
Chỉ tải xuống các ứng dụng bạn biết mình cần và sẽ thực sự sử dụng cũng sẽ giúp bảo vệ bạn. Càng có nhiều ứng dụng, kẻ tấn công càng có nhiều đường dẫn vào hệ thống của bạn.
Phần mềm chống vi-rút và chống vi-rút là một điểm cộng. Chúng thường dựa trên dữ liệu về mối đe dọa trong quá khứ nhưng được cập nhật thường xuyên. Phần mềm tốt vẫn có thể bảo vệ khỏi nhiều mối đe dọa, vì vậy hãy đặt các chương trình này tự động quét toàn bộ hệ thống của bạn thường xuyên để bạn không quên sử dụng chúng. Để có thêm một lớp bảo mật, tường lửa có thể được sử dụng, mặc dù những ngày này nó có thể quá mức cần thiết.
Cuối cùng, giáo dục bản thân và / hoặc các thành viên trong tổ chức của bạn. Bất kỳ ai cũng có thể thực hành vệ sinh kỹ thuật số trực tuyến tốt hơn và càng nhiều người biết về các chiến thuật kỹ thuật xã hội phổ biến được sử dụng bởi những kẻ tấn công, họ càng ít thành công hơn.
