Có nhiều loại lỗ hổng bảo mật và cơ hội cho các cuộc tấn công mạng. Các doanh nghiệp có trách nhiệm giữ cho tổ chức của họ được bảo vệ chống lại các cuộc tấn công này. Một trong những lỗ hổng phổ biến nhất và khó bảo vệ nhất là lỗ hổng zero day. Cùng tìm hiểu lỗ hổng zero day là gì.
Mục lục bài viết
1. Cuộc tấn công khai thác lỗ hổng Zero-day là gì?
Cuộc tấn công khai thác lỗ hổng Zero-day tiếng Anh là Zero-day exploit attack.
Cuộc tấn công zero-day (còn được gọi là Day Zero) là cuộc tấn công khai thác điểm yếu bảo mật phần mềm nghiêm trọng tiềm ẩn mà nhà cung cấp hoặc nhà phát triển có thể không biết. Nhà phát triển phần mềm phải gấp rút giải quyết điểm yếu ngay khi phát hiện ra nhằm hạn chế mối đe dọa cho người dùng phần mềm. Giải pháp được gọi là bản vá phần mềm. Các cuộc tấn công Zero-day cũng có thể được sử dụng để tấn công Internet vạn vật (IoT).
Một cuộc tấn công zero-day được đặt tên theo số ngày mà nhà phát triển phần mềm đã biết về sự cố. Cuộc tấn công zero-day là một cuộc tấn công liên quan đến phần mềm khai thác một điểm yếu mà nhà cung cấp hoặc nhà phát triển không hề hay biết.
Tên gọi xuất phát từ số ngày mà một nhà phát triển phần mềm đã biết về vấn đề này. Giải pháp để khắc phục một cuộc tấn công zero-day được gọi là một bản vá phần mềm. Mặc dù không phải lúc nào cũng có thể ngăn chặn được các cuộc tấn công Zero-day thông qua phần mềm chống vi-rút và các bản cập nhật hệ thống thường xuyên.
Có nhiều thị trường khác nhau cho các cuộc tấn công zero-day, từ hợp pháp đến bất hợp pháp. Chúng bao gồm thị trường trắng, thị trường xám và thị trường tối.
Zero day or a day zero attack là thuật ngữ được sử dụng để mô tả mối đe dọa về một lỗ hổng bảo mật không xác định trong phần mềm hoặc ứng dụng máy tính mà bản vá chưa được phát hành hoặc các nhà phát triển ứng dụng không biết hoặc không có đủ thời gian để giải quyết. Vì lỗ hổng bảo mật không được biết trước nên việc khai thác thường xảy ra mà người dùng không hề hay biết. Một lỗ hổng zero day được coi là một thành phần quan trọng khi thiết kế một ứng dụng để trở nên hiệu quả và an toàn.
2. Đặc điểm của cuộc tấn công khai thác lỗ hổng Zero-day:
Một cuộc tấn công zero-day có thể liên quan đến phần mềm độc hại, phần mềm quảng cáo, phần mềm gián điệp hoặc truy cập trái phép vào thông tin người dùng. Người dùng có thể tự bảo vệ mình trước các cuộc tấn công zero-day bằng cách cài đặt phần mềm của họ — bao gồm hệ điều hành, phần mềm chống vi-rút và trình duyệt internet — cập nhật tự động và nhanh chóng bằng cách cài đặt bất kỳ bản cập nhật nào được đề xuất ngoài các bản cập nhật thường xuyên được lên lịch.
Điều đó nói lên rằng, việc cập nhật phần mềm chống vi-rút sẽ không nhất thiết bảo vệ người dùng khỏi cuộc tấn công trong ngày, bởi vì cho đến khi lỗ hổng phần mềm được công khai, phần mềm chống vi-rút có thể không có cách nào để phát hiện ra nó. Hệ thống ngăn chặn xâm nhập máy chủ cũng giúp bảo vệ khỏi các cuộc tấn công zero-day bằng cách ngăn chặn và bảo vệ chống lại các cuộc xâm nhập và bảo vệ dữ liệu.
Hãy nghĩ về lỗ hổng zero-day như một cánh cửa ô tô không khóa mà chủ xe cho rằng đã khóa nhưng kẻ trộm phát hiện ra đã mở khóa. Kẻ trộm có thể xâm nhập mà không bị phát hiện và lấy cắp những thứ từ ngăn đựng găng tay hoặc cốp xe của chủ sở hữu xe hơi mà có thể không bị phát hiện cho đến những ngày sau khi thiệt hại đã được thực hiện và tên trộm đã biến mất từ lâu. Trong khi lỗ hổng zero-day được biết đến là do bị tin tặc tội phạm khai thác, chúng cũng có thể bị khai thác bởi các cơ quan an ninh chính phủ, những người muốn sử dụng chúng để giám sát hoặc tấn công.
Trên thực tế, nhu cầu về các lỗ hổng zero-day từ các cơ quan an ninh chính phủ đến mức họ giúp thúc đẩy thị trường mua bán thông tin về các lỗ hổng này và cách khai thác chúng. Khai thác Zero-day có thể được tiết lộ công khai, chỉ tiết lộ cho nhà cung cấp phần mềm hoặc bán cho bên thứ ba. Nếu chúng được bán, chúng có thể được bán có hoặc không có độc quyền. Giải pháp tốt nhất cho một lỗ hổng bảo mật, theo quan điểm của công ty phần mềm chịu trách nhiệm về nó, là để một hacker có đạo đức hoặc mũ trắng tiết lộ một cách riêng tư lỗ hổng cho công ty để nó có thể được sửa trước khi các hacker tội phạm phát hiện ra. Nhưng trong một số trường hợp, nhiều bên phải giải quyết lỗ hổng bảo mật để giải quyết hoàn toàn, do đó, việc tiết lộ thông tin cá nhân hoàn toàn có thể không thực hiện được.
3. Thị trường cho các cuộc tấn công Zero-Day:
Trong thị trường đen tối cho thông tin zero-day, các hacker tội phạm trao đổi chi tiết về cách đột nhập phần mềm dễ bị tấn công để lấy cắp thông tin có giá trị. Trong thị trường xám, các nhà nghiên cứu và các công ty bán thông tin cho quân đội, cơ quan tình báo và cơ quan thực thi pháp luật. Trên thị trường trắng, các công ty trả tiền cho tin tặc mũ trắng hoặc các nhà nghiên cứu bảo mật để phát hiện và tiết lộ các lỗ hổng phần mềm cho các nhà phát triển để họ có thể khắc phục sự cố trước khi tin tặc tội phạm có thể tìm thấy chúng.
Tùy thuộc vào người mua, người bán và mức độ hữu ích, thông tin zero-day có thể có giá trị từ vài nghìn đến vài trăm nghìn đô la, làm cho nó trở thành một thị trường sinh lợi tiềm năng để tham gia. Trước khi giao dịch có thể hoàn tất, người bán nên cung cấp bằng chứng về khái niệm (PoC) để xác nhận sự tồn tại của khai thác zero-day. Đối với những người muốn trao đổi thông tin zero-day mà không bị phát hiện, mạng Tor cho phép các giao dịch zero-day được thực hiện ẩn danh bằng Bitcoin.
Các cuộc tấn công Zero-day có thể ít đe dọa hơn chúng ta tưởng. Các chính phủ có thể có những cách dễ dàng hơn để theo dõi công dân của họ và zero-day có thể không phải là cách hiệu quả nhất để khai thác các doanh nghiệp hoặc cá nhân. Một cuộc tấn công phải được triển khai một cách chiến lược và mục tiêu không hề hay biết để có hiệu quả tối đa. Việc thực hiện một cuộc tấn công zero-day trên hàng triệu máy tính cùng một lúc có thể tiết lộ sự tồn tại của lỗ hổng bảo mật và nhận được bản vá lỗi được tung ra quá nhanh để những kẻ tấn công hoàn thành mục tiêu cuối cùng của chúng.
Các tính năng nổi bật của các cuộc tấn công Zero day hoặc Zero day attack là:
Các cuộc tấn công Zero day thường xảy ra giữa thời điểm lỗ hổng được tìm thấy và khai thác lần đầu tiên và thời điểm các nhà phát triển ứng dụng đưa ra giải pháp cần thiết để chống lại việc khai thác. Dòng thời gian này thường được gọi là cửa sổ lỗ hổng bảo mật.Các cuộc tấn công Zero day có khả năng tàn phá mạng bằng cách khai thác các lỗ hổng của các ứng dụng liên quan.
Chúng không phải lúc nào cũng là vi-rút và có thể giả định các dạng phần mềm độc hại khác như ngựa Trojan hoặc sâu.
Đối với người dùng máy tính gia đình, cuộc tấn công zero day là cực kỳ khó chẩn đoán vì bản chất của cuộc tấn công là thông qua một thực thể đáng tin cậy.
Cập nhật phần mềm chống phần mềm độc hại mới nhất thường được khuyến nghị, mặc dù nó chỉ có thể cung cấp mức bảo mật tối thiểu để chống lại cuộc tấn công zero day. Các phương pháp hiệu quả để bảo vệ khỏi các cuộc tấn công zero day:
Các biện pháp hạn chế và kiểm soát truy cập khác nhau bao gồm mạng LAN ảo, tường lửa có thể cung cấp khả năng bảo vệ chống lại các cuộc tấn công zero day.
Ủy quyền một gói có thể giúp cung cấp sự bảo vệ hiệu quả trong một mạng có ít người dùng hơn trước các cuộc tấn công zero-day.Hạn chế đặc quyền cho tài khoản người dùng. Điều này có thể giảm thiểu tác động của bất kỳ cuộc tấn công nào có thể xảy ra.
4. Ví dụ về cuộc tấn công khai thác lỗ hổng Zero-day:
Vào tháng 4 năm 2017, Microsoft đã được thông báo về một cuộc tấn công zero-day vào phần mềm Microsoft Word của họ. Những kẻ tấn công đã sử dụng phần mềm độc hại có tên là trojan ngân hàng Dridex để khai thác phiên bản phần mềm dễ bị tấn công và chưa được vá. Trojan này cho phép những kẻ tấn công nhúng mã độc vào tài liệu Word, mã này sẽ tự động được kích hoạt khi tài liệu được mở. Cuộc tấn công được phát hiện bởi nhà cung cấp phần mềm chống vi-rút McAfee đã thông báo cho Microsoft về phần mềm bị xâm phạm. Mặc dù cuộc tấn công zero-day đã được phát hiện vào tháng 4, nhưng hàng triệu người dùng đã bị nhắm mục tiêu kể từ tháng 1.