北京
網(wǎng)絡(luò)安全圈撒“零日”這個詞兒,撒得跟婚禮彩紙似的。每隔一周就來一個新頭條:“新鮮漏洞披露”,有人張嘴就喊零日。Log4Shell在某個犄角旮旯的庫里又冒出一個變種,推上立刻刷屏:又是一起零日。某個CVE編號周二剛掛出來,周三信息安全時間線上大半已把它稱作零日。可這個詞本身是有精確含義的,我們這幫人幾乎把它徹底丟掉了。
原教旨定義很具體:零日漏洞——廠商不知道,任何有能力緩解它的人也不知道。那個“零”,指的是廠商連漏洞存在都不曉得,所以修復(fù)倒計(jì)時為零天。針對這種漏洞的利用,叫零日利用。已經(jīng)在野發(fā)生的真實(shí)攻擊,就叫零日攻擊。不是“跟你有點(diǎn)關(guān)系”,不是“你個人剛聽說”,必須是“未知”——對廠商未知、對防御方未知、對所有人未知。
這個說法其實(shí)是從warez圈子傳過來的。當(dāng)年“zero day software”指的是正式發(fā)布日前就搞到手的軟件——第零天,你比別人都早拿到。后來術(shù)語流入漏洞研究領(lǐng)域,才染上現(xiàn)在這個更特定的意思,至少是我們理應(yīng)使用的意思。然而現(xiàn)實(shí)走樣了:有人發(fā)現(xiàn)一個漏洞,可能是研究員、情報(bào)機(jī)構(gòu)、也可能是攻擊者。這漏洞在黑市上流轉(zhuǎn),被囤積起來,在從不登上頭條的定向行動里悄悄用著。幾個月過去了,幾年過去了。蘭德公司發(fā)過研究,平均每款零日利用工具能在野存活近七年。七年——期間沒人知道有這么個洞,所有能修它的人都蒙在鼓里。
然后有一天廠商終于發(fā)現(xiàn)了。或者某位研究員發(fā)布了文章。或者一次外泄逼得人家不得不公開。刷地一下,它就變成了“零日”。標(biāo)題寫手可愛死這個詞了——聽著就嚇人,聽著就新鮮,好像有個全新的東西剛從暗處爬出來打算搞死所有人,可人家八成已經(jīng)游蕩了好多年。這不是咬文嚼字,語言會框住我們看待風(fēng)險的方式。當(dāng)每一個稍微有點(diǎn)意思的CVE都被貼上零日標(biāo)簽,這個詞就徹底沒勁兒了。團(tuán)隊(duì)會變得麻木:他們聽到“零日”,心想跟其他告警一個樣,單單這個月就聽見五十回了,其中一些在野時間比新人的工齡都長。
而與此同時,那些真正的零日漏洞,是實(shí)打?qū)崌樔说摹]有哪個防守者曾經(jīng)見過它,特征碼不存在,行為檢測揪不住它,補(bǔ)丁?趕緊收起來吧,沒人知道有問題。震網(wǎng)病毒動用了四個零日,“永恒之藍(lán)”在被影子經(jīng)紀(jì)人倒出來之前也是一個貨真價實(shí)的零日,而且一當(dāng)就是好多年。就是這類漏洞,讓安全架構(gòu)師半夜從床上彈起來。
更讓人不太舒服的部分來了:國家力量在采購它們。有情報(bào)機(jī)構(gòu)設(shè)有專門部門,任務(wù)就是發(fā)掘這類東西。具體的?相關(guān)消息便到此戛然而止了。想象一下那個景象——某個你根本沒聽過名字的接口里,躺著一個可以跨過一切權(quán)限的bug,而某些地方正有人反復(fù)測試它,年復(fù)一年地測試。你手機(jī)上現(xiàn)在跑的那個系統(tǒng)版本,里面可能就嵌著這樣一枚沒人知道的時間膠囊。可一旦它終于被曝光,全網(wǎng)第一反應(yīng)還是那幾個字:“重磅零日來襲!”
安全社區(qū)需要一場集體反思:究竟是被“零日”這個營銷詞綁架,還是重新在乎“有一天你們終將知道它存在”的那份凜冽。否則,等真正的零日擦著你的防火墻邊緣滑進(jìn)來那天,警報(bào)聲也不會比今天這封郵件響起得更刺耳。畢竟,上個月你已經(jīng)聽說過四十個零日了,誰還會再為一個繃緊神經(jīng)呢?
特別聲明:以上內(nèi)容(如有圖片或視頻亦包括在內(nèi))為自媒體平臺“網(wǎng)易號”用戶上傳并發(fā)布,本平臺僅提供信息存儲服務(wù)。
Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.
