獨家 | 2021年打破了零日黑客攻擊的記錄

作者：Patrick Howell O'Neill

翻譯：歐陽錦

校對：王可汗

零日漏洞是一種通過以前未知的漏洞發起網絡攻擊的方法，這可能是黑客擁有的最有價值的東西——一些漏洞在公開市場上的標價能夠達到100萬美元。

據多個數據庫、研究人員和網絡安全公司向《麻省理工科技評論》透露，今年內網絡安全防御者捕獲的漏洞數量創下了歷史之最。根據零日漏洞追蹤項目等數據庫，今年至少發現了66個仍在使用中的零日漏洞——幾乎是2020年總數的兩倍，比記錄中的其他任何年份都多。

制表: Patrick Howell O'Neill 來源：零日漏洞追蹤項目

雖然這個創紀錄的數字吸引了我們的注意，但是我們應該怎樣看待它呢？這意味著現在正在使用中的零日漏洞比以往更多，還是防御者變得更擅長發現黑客了？

微軟云安全副總裁Eric Doerr說：“可以肯定的是數量增加了。有趣的問題是，這意味著什么？天塌下來了嗎？嗯，這很微妙'。”

黑客們正在“全力以赴”

導致零日漏洞報告率上升的其中一個原因是黑客工具在全球的迅速擴散。有權有勢的團體把大量的資金投入到零日攻擊中，為自己所用并獲得了回報。

處于食物鏈頂端的是政府資助的黑客。美國網絡安全公司FireEye Mandiant的漏洞和利用主管JaredSemrau說，僅中國就被懷疑需要對今年的9個零日事件負責。而且美國及其盟友顯然擁有那些最先進的黑客能力，關于更積極地使用黑客工具的討論也在增加。

Semrau說："肯定有一些頂級的復雜間諜專家，正在以一種我們在過去幾年中從未見過的方式在全力運作。

很少有人或組織能像北京和華盛頓一樣擁有零日攻擊的能力。大多數國家沒有人才或基礎設施在國內開發這些漏洞，因此他們只能去購買這樣的漏洞。

現在比以往任何時候都更容易從不斷增長的漏洞產業中購買零日漏洞。曾經昂貴得令人望而卻步的高端產品現在也變得更容易購買了。

Semrau說：“我們看到這些國家集團去找NSO或Candiru，這些日益知名的服務讓各國用財政資源換取進攻能力。阿拉伯聯合酋長國、美國以及歐洲和亞洲大國都向開發行業投入了很多資金。”

而網絡犯罪分子近年來也在利用零日攻擊來賺錢，他們在軟件中找到缺陷，使他們能夠開展勒索軟件計劃。

Semrau說：“有經濟動機的黑客比以往任何時候都要更復雜。我們最近追蹤到的三分之一的零日事件可以直接追溯到有經濟動機的黑客。因此，他們在這一增長中發揮了重要作用，雖然我認為很多人都沒有對此給予肯定。”

網絡防御者得到了更好的關注

雖然可能有越來越多的人在開發或購買零日程序，但報告的創紀錄數量并不一定是一件壞事。實際上，一些專家說這可能是個好消息。

我們采訪的人都不相信，在這么短的時間內，零日攻擊的總數增加了一倍以上，只是被發現的數量增加了。這表示網絡防御者正在變得更善于抓住黑客。

我們可以看看這些數據，比如谷歌的零日漏洞表格，它追蹤了近十年來被抓獲的重大黑客。

這一趨勢可能反映出的一個變化是，用于網絡防御的資金正在變多，特別是科技公司為發現新的零日漏洞而提出的更大的漏洞賞金和獎勵。但是有更好的工具出現也是變化之一。

AzimuthSecurity公司的創始人Mark Dowd說：“防御者之前只能抓住相對簡單的攻擊，現在顯然能夠檢測更復雜的黑客。我認為這表明檢測復雜攻擊的能力正在升級。”

谷歌的威脅分析小組（TAG）、卡巴斯基的全球研究與分析小組（GReAT）和微軟的威脅情報中心（MSTIC）都擁有大量的人才、資源和數據。事實上，他們的能力可以與情報機構中檢測和追蹤對手的黑客相媲美。

像微軟和CrowdStrike這樣的公司也在大規模地開展檢測工作。以前的工具，如殺毒軟件，對異常活動的關注較少，而今天，一家大公司可以在數百萬臺機器上捕捉到一個小小的異常，然后追溯到用來可能存在的零日漏洞。

微軟的Doerr說：“你現在看到更多漏洞的原因是我們發現了更多漏洞。我們擅長吸引公眾的注意力。你可以從你所有的客戶那里知道當下正在發生什么，這有助于你更快地變聰明。如果你發現了新的糟糕情況，這將只會影響一個客戶而不是一萬個客戶。”

然而，現實比理論要混亂得多。今年早些時候，多個黑客組織對微軟Exchange電子郵件服務器發起了攻勢。起初只是一個關鍵的零日攻擊，一開始是嚴重的零日攻擊，但在修復程序可用后，在它實際應用于用戶之前，情況變得更加糟糕。這個缺口是黑客喜歡攻擊的最佳點。然而，作為一項理論，杜爾的觀點是非常正確的。

漏洞越來越難發現，也越來越昂貴

即使零日攻擊比以往任何時候都多，但有一個事實是所有專家都同意的：零日攻擊越來越難，需要花費更多資源。

更完善的防御和更復雜的系統意味著黑客必須做更多嘗試才能侵入目標——攻擊的成本變得更高，需要更多資源。然而，作為回報，有如此多公司都在使用云服務，只需一個漏洞就可以讓數百萬客戶受到攻擊。

Doerr說：“十年前，當所有的東西都是在企業內部時，很多攻擊只有某一家公司遇到，而且很少有公司有能力去了解到底發生了什么。”

面對不斷改進的防御措施，黑客往往必須將多個漏洞綜合起來，而不是只使用某一個漏洞。這些“漏洞鏈”需要更多的零日漏洞。成功發現這些“漏洞鏈”也是漏洞數字急劇上升的部分原因。

Dowd說，現在的黑客 "不得不通過這些一連串的漏洞來實現他們的目標，這意味著更多的投入和更大的風險"。

最有價值的漏洞的成本上升是一個重要信號。現有的有限數據，如Zerodium發布的零日價格，顯示在過去三年中最高端黑客的成本上升了1150%之多。

但是，即使零日攻擊更難，需求也已上升，供應也隨之增加。天空可能不會塌下來，但也不會是一個完美的晴天。

原文標題：

2021 has broken the record forzero-day hacking attacks

原文鏈接：

https://outline.com/JfuVKn