作者：Patrick Howell O'Neill

翻譯：歐陽錦

校對：王可汗

零日漏洞是一種通過以前未知的漏洞發(fā)起網(wǎng)絡(luò)攻擊的方法，這可能是黑客擁有的最有價值的東西——一些漏洞在公開市場上的標價能夠達到100萬美元。

據(jù)多個數(shù)據(jù)庫、研究人員和網(wǎng)絡(luò)安全公司向《麻省理工科技評論》透露，今年內(nèi)網(wǎng)絡(luò)安全防御者捕獲的漏洞數(shù)量創(chuàng)下了歷史之最。根據(jù)零日漏洞追蹤項目等數(shù)據(jù)庫，今年至少發(fā)現(xiàn)了66個仍在使用中的零日漏洞——幾乎是2020年總數(shù)的兩倍，比記錄中的其他任何年份都多。

制表: Patrick Howell O'Neill 來源：零日漏洞追蹤項目

雖然這個創(chuàng)紀錄的數(shù)字吸引了我們的注意，但是我們應(yīng)該怎樣看待它呢？這意味著現(xiàn)在正在使用中的零日漏洞比以往更多，還是防御者變得更擅長發(fā)現(xiàn)黑客了？

微軟云安全副總裁Eric Doerr說：“可以肯定的是數(shù)量增加了。有趣的問題是，這意味著什么？天塌下來了嗎？嗯，這很微妙'?！?/p>

黑客們正在“全力以赴”

導(dǎo)致零日漏洞報告率上升的其中一個原因是黑客工具在全球的迅速擴散。有權(quán)有勢的團體把大量的資金投入到零日攻擊中，為自己所用并獲得了回報。

處于食物鏈頂端的是政府資助的黑客。美國網(wǎng)絡(luò)安全公司FireEye Mandiant的漏洞和利用主管JaredSemrau說，僅中國就被懷疑需要對今年的9個零日事件負責(zé)。而且美國及其盟友顯然擁有那些最先進的黑客能力，關(guān)于更積極地使用黑客工具的討論也在增加。

Semrau說："肯定有一些頂級的復(fù)雜間諜專家，正在以一種我們在過去幾年中從未見過的方式在全力運作。

很少有人或組織能像北京和華盛頓一樣擁有零日攻擊的能力。大多數(shù)國家沒有人才或基礎(chǔ)設(shè)施在國內(nèi)開發(fā)這些漏洞，因此他們只能去購買這樣的漏洞。

現(xiàn)在比以往任何時候都更容易從不斷增長的漏洞產(chǎn)業(yè)中購買零日漏洞。曾經(jīng)昂貴得令人望而卻步的高端產(chǎn)品現(xiàn)在也變得更容易購買了。

Semrau說：“我們看到這些國家集團去找NSO或Candiru，這些日益知名的服務(wù)讓各國用財政資源換取進攻能力。阿拉伯聯(lián)合酋長國、美國以及歐洲和亞洲大國都向開發(fā)行業(yè)投入了很多資金?！?/p>

而網(wǎng)絡(luò)犯罪分子近年來也在利用零日攻擊來賺錢，他們在軟件中找到缺陷，使他們能夠開展勒索軟件計劃。

Semrau說：“有經(jīng)濟動機的黑客比以往任何時候都要更復(fù)雜。我們最近追蹤到的三分之一的零日事件可以直接追溯到有經(jīng)濟動機的黑客。因此，他們在這一增長中發(fā)揮了重要作用，雖然我認為很多人都沒有對此給予肯定?！?/p>

網(wǎng)絡(luò)防御者得到了更好的關(guān)注

雖然可能有越來越多的人在開發(fā)或購買零日程序，但報告的創(chuàng)紀錄數(shù)量并不一定是一件壞事。實際上，一些專家說這可能是個好消息。

我們采訪的人都不相信，在這么短的時間內(nèi)，零日攻擊的總數(shù)增加了一倍以上，只是被發(fā)現(xiàn)的數(shù)量增加了。這表示網(wǎng)絡(luò)防御者正在變得更善于抓住黑客。

我們可以看看這些數(shù)據(jù)，比如谷歌的零日漏洞表格，它追蹤了近十年來被抓獲的重大黑客。

這一趨勢可能反映出的一個變化是，用于網(wǎng)絡(luò)防御的資金正在變多，特別是科技公司為發(fā)現(xiàn)新的零日漏洞而提出的更大的漏洞賞金和獎勵。但是有更好的工具出現(xiàn)也是變化之一。

AzimuthSecurity公司的創(chuàng)始人Mark Dowd說：“防御者之前只能抓住相對簡單的攻擊，現(xiàn)在顯然能夠檢測更復(fù)雜的黑客。我認為這表明檢測復(fù)雜攻擊的能力正在升級?！?/p>

谷歌的威脅分析小組（TAG）、卡巴斯基的全球研究與分析小組（GReAT）和微軟的威脅情報中心（MSTIC）都擁有大量的人才、資源和數(shù)據(jù)。事實上，他們的能力可以與情報機構(gòu)中檢測和追蹤對手的黑客相媲美。

像微軟和CrowdStrike這樣的公司也在大規(guī)模地開展檢測工作。以前的工具，如殺毒軟件，對異常活動的關(guān)注較少，而今天，一家大公司可以在數(shù)百萬臺機器上捕捉到一個小小的異常，然后追溯到用來可能存在的零日漏洞。

微軟的Doerr說：“你現(xiàn)在看到更多漏洞的原因是我們發(fā)現(xiàn)了更多漏洞。我們擅長吸引公眾的注意力。你可以從你所有的客戶那里知道當下正在發(fā)生什么，這有助于你更快地變聰明。如果你發(fā)現(xiàn)了新的糟糕情況，這將只會影響一個客戶而不是一萬個客戶?！?/p>

然而，現(xiàn)實比理論要混亂得多。今年早些時候，多個黑客組織對微軟Exchange電子郵件服務(wù)器發(fā)起了攻勢。起初只是一個關(guān)鍵的零日攻擊，一開始是嚴重的零日攻擊，但在修復(fù)程序可用后，在它實際應(yīng)用于用戶之前，情況變得更加糟糕。這個缺口是黑客喜歡攻擊的最佳點。然而，作為一項理論，杜爾的觀點是非常正確的。

漏洞越來越難發(fā)現(xiàn)，也越來越昂貴

即使零日攻擊比以往任何時候都多，但有一個事實是所有專家都同意的：零日攻擊越來越難，需要花費更多資源。

更完善的防御和更復(fù)雜的系統(tǒng)意味著黑客必須做更多嘗試才能侵入目標——攻擊的成本變得更高，需要更多資源。然而，作為回報，有如此多公司都在使用云服務(wù)，只需一個漏洞就可以讓數(shù)百萬客戶受到攻擊。

Doerr說：“十年前，當所有的東西都是在企業(yè)內(nèi)部時，很多攻擊只有某一家公司遇到，而且很少有公司有能力去了解到底發(fā)生了什么?！?/p>

面對不斷改進的防御措施，黑客往往必須將多個漏洞綜合起來，而不是只使用某一個漏洞。這些“漏洞鏈”需要更多的零日漏洞。成功發(fā)現(xiàn)這些“漏洞鏈”也是漏洞數(shù)字急劇上升的部分原因。

Dowd說，現(xiàn)在的黑客 "不得不通過這些一連串的漏洞來實現(xiàn)他們的目標，這意味著更多的投入和更大的風(fēng)險"。

最有價值的漏洞的成本上升是一個重要信號?，F(xiàn)有的有限數(shù)據(jù)，如Zerodium發(fā)布的零日價格，顯示在過去三年中最高端黑客的成本上升了1150%之多。

但是，即使零日攻擊更難，需求也已上升，供應(yīng)也隨之增加。天空可能不會塌下來，但也不會是一個完美的晴天。

原文標題：

2021 has broken the record forzero-day hacking attacks

原文鏈接：

https://outline.com/JfuVKn