什么是0day漏洞？如何预防0day攻击？

什么是0day漏洞？

0day漏洞，是指已经被发现，但是还未被公开，同时官方还没有相关补丁的漏洞；通俗的讲，就是除了黑客，没人知道他的存在，其往往具有很大的突发性、破坏性、致命性。

0day漏洞之所以称为0day，正是因为其补丁永远晚于攻击。所以攻击者利用0day漏洞攻击的成功率极高，往往可以达到目的并全身而退，而防守方却一无所知，只有在漏洞公布之后，才后知后觉，却为时已晚。

“后知后觉、反应迟钝”就是当前安全防护面对0day攻击的真实写照！

为了方便大家理解，中科三方为大家梳理当前安全防护模式下，一个漏洞从发现到解决的三个时间节点：

T0：此时漏洞即0day漏洞，是已经被发现，还未被公开，官方还没有相关补丁的漏洞，攻击者此时攻击如入无人之境，攻击效果最佳，持续时间几个月不等；

T1：此时漏洞即1day漏洞，漏洞信息已经被披露，某些勤快的系统管理员已经关注并使用了临时修补手段，但大部分受影响系统因官方补丁的缺失导致其脆弱性依然广泛存在，攻击者此时攻击有效性仍较高。

T2：此时漏洞即Nday漏洞,由于官方补丁已出，此时攻击者利用该漏洞进行攻击，有效性已降低。

从T0到T2，这个过程，往往需要几天，几个月不等！

在攻击中，黑客们往往目的明确，有的放矢，采用“社工+常规攻击+0day漏洞”或多种0day漏洞的组合式攻击，偷偷的来，偷偷的伤害，看不见的才是最可怕的，0day攻击正是如此。

被动防御，面对0day攻击，除了躺平，别无他法。而更加不幸的是，0day攻击时代，已经到来了。

国家信息安全漏洞平台显示，仅2020年上半年，0day漏洞的收录数量就达到了4582个，占比全部收录漏洞的41.4%，同步大幅增长了80.7%。

0day成为了黑客和安全防护博弈的重中之重。一方面黑市中通用的、可造成大范围影响的0day漏洞售价几万美元至几百万美元不等，令诸多黑客们对0day漏洞趋之若鹜；而另一方面，企业安全人员谈0day色变，面对0day漏洞攻击往往是束手无策，有的企业甚至采用了关机、拔网线、停业务等极端方式。

防而不护，就像纸老虎，敷衍自己罢了！

无延迟的防0day，成为了当前与未来安全防护的核心所在。

如何预防0day攻击？

预防：良好的预防安全实践是必不可少的。这些实践包括谨慎地安装和遵守适应业务与应用需要的防火墙政策，随时升级防病毒软件，阻止潜在有害的文件附件，随时修补所有系统抵御已知漏洞。漏洞扫描是评估预防规程有效性的好办法。

实时保护：部署提供全面保护的入侵防护系统(IPS)。在考虑IPS时，寻找以下功能：网络级保护、应用完整性检查、应用协议“征求意见”(RFC)确认、内容确认和取证能力。

计划的事件响应：即使在采用以上措施后，企业仍可能受到“零日漏洞”影响。周密计划的事件响应措施以及包括关键任务活动优先次序在内的定义的规则和规程，对于将企业损失减少到最小程度至关重要。

防止传播：这可以通过将连接唯一限制在满足企业需要所必须的机器上。这样做可以在发生初次感染后，减少利用漏洞的攻击所传播的范围。

近些年，0day攻击正在变得越来越频繁，虽然目前不能完全防范0day攻击，但是企业通过建设完善的检测防护体系，同时提升人员防范意识，可以减少网络系统被0day攻击的几率，降低0day攻击给自身企业造成的损失。