2021年,零日漏洞的数量增长了一倍,价格增长了十倍,但攻击回报增长了百倍!
零日漏洞利用,即通过以前未知的漏洞发起网络攻击的方式,是黑客手中最有价值的武器,因为这些漏洞在公开市场上的价格很轻松就能超过100万美元。
近日,麻省理工科技评论走访了多个数据库、安全研究人员和网络安全公司,发现今年网络安全防御者的人数达到了有史以来的最高水平,但零日漏洞的数量也创下了新的记录。
根据零日漏洞追踪项目的统计(下图),2021年至今至少发现了66个零日漏洞,几乎是2020年总数的两倍,比有记录的任何一年都多。
虽然创纪录的数字引起了人们的注意,但很少有人知道这意味着什么。这是否意味着零日漏洞的利用也比以往任何时候都多?还是防御者更擅长抓住他们以前会漏掉的黑客?
微软云安全副总裁Eric Doerr说:“零日漏洞确实在增长。” “有趣的问题是,这意味着什么?天要塌了吗?也许,事情比想象的要微妙。”
黑客正在“全力以赴”
零日漏洞报告率较高的一个原因是黑客工具在全球范围内迅速扩散。
此外,强大的团体都在向零日内投入大量资金以供自己使用——他们正在收获回报。
处于食物链顶端的是政府资助的黑客。美国网络安全公司FireEye Mandiant的漏洞和利用主管贾里德·塞姆劳(Jared Semrau)表示,美国及其盟国显然拥有一些最复杂的黑客能力,并且越来越多地谈论更积极地使用这些(零日漏洞利用)工具。
Semrau说:“我们(美国)拥有一流的高级间谍,他们肯定以我们过去几年从未见过的方式全力运作。想要零日漏洞的国家很多,但大多不具备中美的实力,因此他们改为购买它们。”
从不断增长的漏洞利用公开市场购买零日漏洞比以往任何时候都容易。曾经非常昂贵和高端的漏洞和工具现在更容易获得。
“我们看到很多国家或集团选择从NSO或Candiru购买,二者日益知名的黑客技术服务让各国可以用金融资源来换取进攻能力,”Semrau说。阿拉伯联合酋长国、美国以及欧洲和一些亚洲强国都向此领域投入了大量资金。
而网络犯罪分子,也已使用零日攻击赚钱——发现软件缺陷,然后部署高额勒索计划。
“有经济动机的攻击者比以往任何时候都更加老练,”Semrau说。“我们最近追踪的零日事件中有三分之一可以直接追溯到有经济动机的行为者。因此,他们在这一增长中发挥了重要作用,我认为很多人并没有对此给予足够的重视。”
网络防御正变得高效
虽然可能有越来越多的人开发或购买零日漏洞,但被发现的零日漏洞数量创纪录并不一定是坏事。事实上,一些安全专家表示,这可能主要是好消息。
在如此短的时间内,零日漏洞攻击的总数增加了一倍多(还只是被捕获的数量),表明网络防御者越来越善于在行动中抓住黑客。
这一趋势可能反映出的一个变化是,有更多资金可用于防御,尤其是来自科技公司为发现新的零日漏洞而提出的更大的漏洞赏金和奖励。但也有更好的工具。
Azimuth Security的创始人Mark Dowd表示,防御者显然已经从只能捕获相对简单的攻击进化到能够检测更复杂的黑客攻击。“我认为这意味着检测更复杂攻击的能力有所提升,”他说。
谷歌的威胁分析小组(TAG)、卡巴斯基的全球研究与分析团队(GReAT)和微软的威胁情报中心(MSTIC)等组织拥有大量的人才、资源和数据——事实上,他们可以与情报机构检测和跟踪对手黑客的能力。
微软和CrowdStrike等公司都在大规模运行检测工作。旧工具(例如防病毒软件)对异常活动的关注较少,而今天,一家大公司可以在数百万台机器上捕获一个小的异常,然后将其追溯到用于入侵的零日漏洞。
然而,现实比理论要混乱得多。今年早些时候,多个黑客组织发起了针对Microsoft Exchange电子邮件服务器的攻势。在漏洞补丁发布到用户部署的这段窗口期大量黑客攻击成功实施了零日攻击,而这个窗口期也成了黑客最喜欢的甜蜜点。
漏洞利用变得越来越难,越来越有价值
即使曝光的零日漏洞数量激增,但所有安全专家都同意一个事实:它们越来越难以利用,成本也越来越高。
更好的防御和更复杂的IT系统意味着黑客必须比十年前做更多的工作才能侵入目标,这意味着攻击成本更高,需要更多资源。然而,回报是,由于有如此多的公司在云中运营,一个漏洞可能会让数百万客户面临攻击。
“十年前,当一切IT系统都在企业内部运行,很多攻击只有被入侵的公司才能看到,”Doerr说,“而且很少有公司能够了解正在发生的事情。”
面对改进的防御,黑客通常必须将多个漏洞组合利用,而不是只使用一个。这种“漏洞利用链”需要更多的零日漏洞。成功发现这些“利用链”也是零日漏洞曝光数量激增的部分原因。
如今,Dowd表示,攻击者“必须通过拥有这样的利用链来实现他们的目标,这意味着需要在零日漏洞上进行更多投资并承担更多风险。”
一个重要信号是,最有价值的漏洞利用成本的飙升。根据有限的可用数据(例如Zerodium上公开的零日漏洞价格)过去三年中,最高端的零日攻击成本上涨了1,150%。
但即使零日漏洞攻击更加困难,成本飙升,但由于需求也快速增长,零日漏洞的供应依然能保持增长。对于安全防御者来说,2021年天可能不会塌下来,但也不会是晴天。
