面对0day漏洞，及时预防是关键！

       0day漏洞，是指已经被发现，但是还未被公开，同时官方还没有相关补丁的漏洞；通俗的讲，就是除了黑客，没人知道他的存在，其往往具有很大的突发性、破坏性、致命性。

0day漏洞之所以称为0day，正是因为其补丁永远晚于攻击。所以攻击者利用0day漏洞攻击的成功率极高，往往可以达到目的并全身而退，而防守方却一无所知，只有在漏洞公布之后，才后知后觉，却为时已晚。

为了方便大家理解，德迅云安全为大家梳理当前安全防护模式下，一个漏洞从发现到解决的三个时间节点：

T0：此时漏洞即0day漏洞，是已经被发现，还未被公开，官方还没有相关补丁的漏洞，攻击者此时攻击如入无人之境，攻击效果最佳，持续时间几个月不等；

T1：此时漏洞即1day漏洞，漏洞信息已经被披露，某些勤快的系统管理员已经关注并使用了临时修补手段，但大部分受影响系统因官方补丁的缺失导致其脆弱性依然广泛存在，攻击者此时攻击有效性仍较高。

T2：此时漏洞即Nday漏洞,由于官方补丁已出，此时攻击者利用该漏洞进行攻击，有效性已降低。

从T0到T2，这个过程 ，往往需要几天，几个月不等！

在攻击中，黑客们往往目的明确，有的放矢，采用“社工+常规攻击+0day漏洞”或多种0day漏洞的组合式攻击，偷偷的来，偷偷的伤害，看不见的才是最可怕的，0day攻击正是如此。

被动防御，面对0day攻击，除了躺平，别无他法。而更加不幸的是，0day攻击时代，已经到来了。

0day成为了黑客和安全防护博弈的重中之重。一方面黑市中通用的、可造成大范围影响的0day漏洞售价几万美元至几百万美元不等，令诸多黑客们对0day漏洞趋之若鹜；而另一方面，企业安全人员谈0day色变，面对0day漏洞攻击往往是束手无策，有的企业甚至采用了关机、拔网线、停业务等极端方式。

面对0day应该做些什么？

预防：良好的预防安全实践是必不可少的。这些实践包括谨慎地安装和遵守适应业务与应用需要的防火墙政策，随时升级防病毒软件，阻止潜在有害的文件附件，随时修补所有系统抵御已知漏洞。漏洞扫描是评估预防规程有效性的好办法。

实时保护：部署提供全面保护的入侵防护系统(IPS)。在考虑IPS时，寻找以下功能：网络级保护、应用完整性检查、应用协议“征求意见”(RFC)确认、内容确认和取证能力。

计划的事件响应：即使在采用以上措施后，企业仍可能受到“零日漏洞”影响。周密计划的事件响应措施以及包括关键任务活动优先次序在内的定义的规则和规程，对于将企业损失减少到最小程度至关重要。

防止传播：这可以通过将连接唯一限制在满足企业需要所必须的机器上。这样做可以在发生初次感染后，减少利用漏洞的攻击所传播的范围。

提升防护能力，德迅猎鹰（云蜜罐）来帮忙！

能做到：

1分钟快速构建内网主动防御系统——无侵入、轻量级的软件客户端安装，实现网络自动覆盖可快速在企业内网形成蜜网入口，轻松排兵布阵。

Web蜜罐配套协议蜜罐，以假乱真延缓攻击——多种真实蜜罐和服务形成的蜜罐系统，使入侵者难以分辨后逗留在蜜网内暴露入侵踪迹。

隐密取证，抓获自然人——通过获取设备指纹、社交信息、位置信息等数据快速勾勒攻击者画像，提供完整攻击信息，为溯源、抓捕攻击者提供有效依据。

转移战场，高度内网安全保障——将攻击流量引出内网转移战场到SaaS蜜网环境，并从网络隔离、流量单向控制等维度配置安全防护系统，保证系统自身不被攻击者识别和破坏。

捕获0day攻击等高级新型威胁——蜜网流量纯粹，无干扰流量，基于攻击行为分析可以快速定位未知威胁并配合真实业务进行优化防御策略。

安全专家服务一键接入——德迅云安全蜜罐管理平台由专家团队监控维护，一旦发现安全风险，及时分析预警，配合客户进行应急响应。

近些年，0day攻击正在变得越来越频繁，虽然目前不能完全防范0day攻击，但是企业通过建设完善的检测防护体系，同时提升人员防范意识，可以减少网络系统被0day攻击的几率，降低0day攻击给自身企业造成的损失。