独家 | 2021年打破了零日黑客攻击的记录

作者：Patrick Howell O'Neill 翻译：欧阳锦校对：王可汗 本文约2000字，建议阅读6分钟本文为大家介绍了2021年发现的零日漏洞以及零日攻击，对零日漏洞的现状进行了简单分析，并给出了对未来零日攻击的预测。

利用零日漏洞攻击计算机

零日漏洞是一种通过以前未知的漏洞发起网络攻击的方法，这可能是黑客拥有的最有价值的东西——一些漏洞在公开市场上的标价能够达到100万美元。

据多个数据库、研究人员和网络安全公司向《麻省理工科技评论》透露，今年内网络安全防御者捕获的漏洞数量创下了历史之最。根据零日漏洞追踪项目等数据库，今年至少发现了66个仍在使用中的零日漏洞——几乎是2020年总数的两倍，比记录中的其他任何年份都多。

制表: Patrick Howell O'Neill 来源：零日漏洞追踪项目

虽然这个创纪录的数字吸引了我们的注意，但是我们应该怎样看待它呢？这意味着现在正在使用中的零日漏洞比以往更多，还是防御者变得更擅长发现黑客了？

微软云安全副总裁Eric Doerr说：“可以肯定的是数量增加了。有趣的问题是，这意味着什么？天塌下来了吗？嗯，这很微妙'。”

黑客们正在“全力以赴”

导致零日漏洞报告率上升的其中一个原因是黑客工具在全球的迅速扩散。有权有势的团体把大量的资金投入到零日攻击中，为自己所用并获得了回报。

处于食物链顶端的是政府资助的黑客。美国网络安全公司FireEye Mandiant的漏洞和利用主管JaredSemrau说，仅中国就被怀疑需要对今年的9个零日事件负责。而且美国及其盟友显然拥有那些最先进的黑客能力，关于更积极地使用黑客工具的讨论也在增加。

Semrau说："肯定有一些顶级的复杂间谍专家，正在以一种我们在过去几年中从未见过的方式在全力运作。

很少有人或组织能像北京和华盛顿一样拥有零日攻击的能力。大多数国家没有人才或基础设施在国内开发这些漏洞，因此他们只能去购买这样的漏洞。

现在比以往任何时候都更容易从不断增长的漏洞产业中购买零日漏洞。曾经昂贵得令人望而却步的高端产品现在也变得更容易购买了。

Semrau说：“我们看到这些国家集团去找NSO或Candiru，这些日益知名的服务让各国用财政资源换取进攻能力。阿拉伯联合酋长国、美国以及欧洲和亚洲大国都向开发行业投入了很多资金。”

而网络犯罪分子近年来也在利用零日攻击来赚钱，他们在软件中找到缺陷，使他们能够开展勒索软件计划。

Semrau说：“有经济动机的黑客比以往任何时候都要更复杂。我们最近追踪到的三分之一的零日事件可以直接追溯到有经济动机的黑客。因此，他们在这一增长中发挥了重要作用，虽然我认为很多人都没有对此给予肯定。”

网络防御者得到了更好的关注

虽然可能有越来越多的人在开发或购买零日程序，但报告的创纪录数量并不一定是一件坏事。实际上，一些专家说这可能是个好消息。

我们采访的人都不相信，在这么短的时间内，零日攻击的总数增加了一倍以上，只是被发现的数量增加了。这表示网络防御者正在变得更善于抓住黑客。

我们可以看看这些数据，比如谷歌的零日漏洞表格，它追踪了近十年来被抓获的重大黑客。

这一趋势可能反映出的一个变化是，用于网络防御的资金正在变多，特别是科技公司为发现新的零日漏洞而提出的更大的漏洞赏金和奖励。但是有更好的工具出现也是变化之一。

AzimuthSecurity公司的创始人Mark Dowd说：“防御者之前只能抓住相对简单的攻击，现在显然能够检测更复杂的黑客。我认为这表明检测复杂攻击的能力正在升级。”

谷歌的威胁分析小组（TAG）、卡巴斯基的全球研究与分析小组（GReAT）和微软的威胁情报中心（MSTIC）都拥有大量的人才、资源和数据。事实上，他们的能力可以与情报机构中检测和追踪对手的黑客相媲美。

像微软和CrowdStrike这样的公司也在大规模地开展检测工作。以前的工具，如杀毒软件，对异常活动的关注较少，而今天，一家大公司可以在数百万台机器上捕捉到一个小小的异常，然后追溯到用来可能存在的零日漏洞。

微软的Doerr说：“你现在看到更多漏洞的原因是我们发现了更多漏洞。我们擅长吸引公众的注意力。你可以从你所有的客户那里知道当下正在发生什么，这有助于你更快地变聪明。如果你发现了新的糟糕情况，这将只会影响一个客户而不是一万个客户。”

然而，现实比理论要混乱得多。今年早些时候，多个黑客组织对微软Exchange电子邮件服务器发起了攻势。起初只是一个关键的零日攻击，一开始是严重的零日攻击，但在修复程序可用后，在它实际应用于用户之前，情况变得更加糟糕。这个缺口是黑客喜欢攻击的最佳点。然而，作为一项理论，杜尔的观点是非常正确的。

漏洞越来越难发现，也越来越昂贵

即使零日攻击比以往任何时候都多，但有一个事实是所有专家都同意的：零日攻击越来越难，需要花费更多资源。

更完善的防御和更复杂的系统意味着黑客必须做更多尝试才能侵入目标——攻击的成本变得更高，需要更多资源。然而，作为回报，有如此多公司都在使用云服务，只需一个漏洞就可以让数百万客户受到攻击。

Doerr说：“十年前，当所有的东西都是在企业内部时，很多攻击只有某一家公司遇到，而且很少有公司有能力去了解到底发生了什么。”

面对不断改进的防御措施，黑客往往必须将多个漏洞综合起来，而不是只使用某一个漏洞。这些“漏洞链”需要更多的零日漏洞。成功发现这些“漏洞链”也是漏洞数字急剧上升的部分原因。

Dowd说，现在的黑客 "不得不通过这些一连串的漏洞来实现他们的目标，这意味着更多的投入和更大的风险"。

最有价值的漏洞的成本上升是一个重要信号。现有的有限数据，如Zerodium发布的零日价格，显示在过去三年中最高端黑客的成本上升了1150%之多。

但是，即使零日攻击更难，需求也已上升，供应也随之增加。天空可能不会塌下来，但也不会是一个完美的晴天。

原文标题：

2021 has broken the record forzero-day hacking attacks

原文链接：

https://outline.com/JfuVKn

编辑：黄继彦

校对：李敏

译者简介

王可汗，清华大学机械工程系直博生在读。曾经有着物理专业的知识背景，研究生期间对数据科学产生浓厚兴趣，对机器学习AI充满好奇。期待着在科研道路上，人工智能与机械工程、计算物理碰撞出别样的火花。希望结交朋友分享更多数据科学的故事，用数据科学的思维看待世界。

翻译组招募信息

工作内容：需要一颗细致的心，将选取好的外文文章翻译成流畅的中文。如果你是数据科学/统计学/计算机类的留学生，或在海外从事相关工作，或对自己外语水平有信心的朋友欢迎加入翻译小组。

你能得到：定期的翻译培训提高志愿者的翻译水平，提高对于数据科学前沿的认知，海外的朋友可以和国内技术应用发展保持联系，THU数据派产学研的背景为志愿者带来好的发展机遇。

其他福利：来自于名企的数据科学工作者，北大清华以及海外等名校学生他们都将成为你在翻译小组的伙伴。

转载须知

如需转载，请在开篇显著位置注明作者和出处（转自：数据派ID：DatapiTHU），并在文章结尾放置数据派醒目二维码。有原创标识文章，请发送【文章名称-待授权公众号名称及ID】至联系邮箱，申请白名单授权并按要求编辑。

发布后请将链接反馈至联系邮箱（见下方）。未经许可的转载以及改编者，我们将依法追究其法律责任。