防止零日攻击的高级优秀实践( 二 ) _零日攻击

网络保护：此功能通过阻止各种可疑的网络活动和连接，来防止基于网络的攻击。通过要求对所有网络流量进行身份验证，它从网络层面上，防止了攻击者对于某些资源的未经授权的访问。

漏洞利用保护：此功能通过对某些程序应用事先定义好一组缓解措施，以及时“弥补”软件和应用中新被发现的漏洞。当然，我们也可以对其进行定制，以将特定的缓解措施，应用于特定的程序或流程中。

总体而言，Windows Defender Exploit Guard是一款强大的工具，可帮助我们抵御Windows系统所面临的零日攻击、以及其他类型的网络威胁。因此，保持此功能处于启用状态，并保持其持续更新是非常重要的。它在某种程度上起到了系统“守门员”的作用。
零信任和XDR
零信任安全和XDR（可拓展威胁检测与响应，Extended Detection and Response）可以通过提供更为全面和主动的安全方法，来阻止零日攻击。
零信任安全模型假定：无论来自何处，所有网络流量都应当被视为不受信任的。这就意味着在允许被访问敏感信息或系统之前，所有流量都需要经过仔细的审查，以防止攻击者利用认证与授权上的漏洞，去访问目标网络。
而XDR集成了来自多种安全技术和来源的数据，可提供更全面的组织安全态势视图。这使得安全团队能够更快、更有效地检测和响应新出现的威胁、以及零日攻击形式。此外，XDR还可以帮助组织识别其现有环境中的潜在漏洞和风险，进而前摄性地防止零日攻击的发生。
利用下一代防病毒
下一代防病毒（Next-Generation Antivirus，NGAV）是一种防病毒软件，它使用先进的技术和处理能力，来提供针对恶意软件、以及其他安全威胁的更有效的保护。
与主要依靠签名检测来识别已知威胁的传统防病毒软件不同，NGAV会使用多种方法，来检测和阻止恶意软件。例如，它会用到基于行为的检测、机器学习、以及启发式方法。这些都使得NGAV能够针对更广泛的威胁（包括零日攻击、以及其他新出现的威胁）提供更全面、更有效的保护。
准备好事件响应计划
国外著名安全意识培训机构SANS曾提出了经典的事件响应六大阶段。它是一个可用于组织和协调安全事件响应的框架，我们可以用来应对由零日攻击给组织造成的安全事件。它每个阶段的具体内容包括：
1. 准备：此阶段主要是制定待实施的安全事件响应计划，包括：建立角色和职责，定义流程，以及指定适当的工具和资源。
2. 识别：此阶段主要是检测和识别正在发生的安全事件。我们可以通过诸如：监控网络流量，分析日志，以及响应来自安全工具与设备的警报等多种方式来实现。
3. 遏制：一旦确认了安全事件，下一步就应该通过遏制，以防止其传播或造成进一步的损害。此阶段主要涉及到：断开受影响的系统与网络连接，关闭服务，或实施其他快速措施，来及时限制事件的影响。
4. 根除：该阶段需要消除安全事件的根本原因。此处包括：删除恶意软件，修补暴露的漏洞，以及采取根本原因分析法（RCA），来挖掘事件背后的原因。
5. 恢复：阻止了事件恶化后，我们在此阶段就需要恢复所有受影响的系统或数据。其中包括：恢复备份，重建系统，或通过实施多部门协作，让组织尽快恢复到正常运行的状态。
6. 经验教训：最后、也是最重要的是审查我们在事件响应过程中，需要改进的地方。该阶段主要包括：开展事后审查，分析数据和日志，以及按需实施调整与更改，以防止类似事件的再次发生。
通过遵循上述六个阶段，组织可以更快、更有效地响应各类安全事件，以避免事件的蔓延，或造成进一步的损害。值得一提的是，从事件响应过程中吸取的教训，可以帮助组织识别和整改其现有环境中的各类漏洞或弱点，进而防范可能出现的零日攻击。
小结综上所述，由于零日攻击利用的是未知的漏洞，获取的是敏感的信息，甚至会造成运营的中断，因此它对于组织和个人所构成的威胁是相当严重的。正因为如此，防范此类攻击对于现有的大型系统、以及个人终端都是至关重要的。
在上文中，我们介绍了针对零日攻击的基本与高级防御措施，其中深入讨论了实施补丁管理、使用Windows Defender、零信任、XDR、NGAV、以及事件响应计划。希望这些有助于贵企业更好地免受零日攻击，并能保持业务的持续稳定运营。
译者介绍
陈峻（Julian Chen），51CTO社区编辑，具有十多年的IT项目实施经验，善于对内外部资源与风险实施管控，专注传播网络与信息安全知识与经验。