A 零日漏洞 是一个软件供应商或企业未知的安全漏洞,并且尚未发布针对该漏洞的补丁 漏洞“零日漏洞”是指开发人员没有时间修复其软件或硬件中最近发现的安全漏洞。“零日攻击”是指黑客利用硬件或软件开发人员尚未修补(甚至可能尚未知晓)的漏洞。这种攻击允许黑客利用软件或硬件的“零日漏洞”入侵系统。
2014年XNUMX月,谷歌启动了“零日计划”(Zero Day Initiative),该计划由谷歌的安全分析师组成,负责寻找零日漏洞;这个团队被称为“Project Zero”。Project Zero的研究人员负责发现硬件和软件解决方案中的漏洞,并将这些发现报告给产品制造商。他们共同努力修复安全漏洞,并在漏洞修复后公开发布补丁。
Project Zero 类似于 Bug Bounty程序这是许多网站、组织和软件开发商提供的一项服务,个人可以通过报告供应商产品中的错误或漏洞获得认可和金钱报酬
相关术语: Bug Bounty程序, 负责任的披露, 漏洞
相关阅读:
黑客利用 WordPress 插件中的零日漏洞创建恶意管理员账户
来源:
作为 SMB,您如何应对零日漏洞取决于您自己开发硬件 (HW) 或软件 (SW),还是使用其他公司的硬件和软件。
对于不开发硬件或软件的中小企业,您只需制定漏洞警报管理策略和流程,以应对您所使用的硬件和软件所发布的安全漏洞。此流程定义了您需要根据所面临风险的严重程度或规模,以多快的速度修补设备。对于那些可能完全破坏网络的风险,如果存在漏洞代码,并且您为受攻击的服务启用了互联网端口和协议,您的策略将声明——停止所有其他操作,立即修补。风险较低的漏洞可以让您有更多时间按照 VAMP 流程中的定义进行规划。CyberHoot 提供经过全面审查的 VAMP 模板,供您在公司内部采用。
对于开发硬件或软件的中小企业,您应该在开发流程中构建漏洞赏金计划和负责任的漏洞披露程序或流程。在您的网站上,列出如何报告软件中的关键漏洞以及合适的报告方式。如果您的规模足够大,可以为通过漏洞赏金计划报告漏洞的用户提供经济奖励,请发布这些奖励,并说明如何提交漏洞以及您希望在报告中获得哪些信息。其次,概述您将在何时确认漏洞,以及您将遵循哪些时间表来开发修复程序。这样做的目的是避免出现这样的情况:安全研究人员感觉被您拒绝或忽视,他们没有等待您开发补丁,而是将他们的发现发布到互联网社区,尽管“负责任的披露”最佳实践。
发现并分享最新的网络安全趋势、技巧和最佳实践——以及需要注意的新威胁。
