漏洞的“保质期”:0day/1day/Nday刚入门网络安全的朋友应该听过一个词,叫”0 day“,很多
0day、1day、nday:按漏洞生命周期划分的攻击窗口
这三个词描述的是漏洞从被发现到被修复过程中,不同阶段的可利用性,本质是“时间差”的博弈。
0day 漏洞(零日漏洞)
- 定义:指软件厂商尚未知晓或未发布补丁,但攻击者已经掌握并开始利用的安全漏洞。
- 特点:
- 极其隐蔽,防御难度极高,因为没有已知特征可供检测。
- 通常用于攻击高价值目标(如政府、企业核心系统)。
- 漏洞本身和利用代码(exploit)在黑市上价格昂贵。
- 举例:2018年Adobe Flash Player中的CVE-2018-5002漏洞,被用于中东地区的网络间谍活动,就是典型的0day攻击。
1day 漏洞
定义:漏洞已被公开披露,厂商刚刚发布补丁(通常在1天内),但大量用户尚未更新,仍可被利用。
特点:
攻击窗口较短,但风险集中,因为攻击者会迅速开发自动化工具批量扫描未修复系统。
常见于蠕虫病毒爆发初期,如“永恒之蓝”刚披露时。
注意:虽然叫“1day”,实际可能指补丁发布后数天内的窗口期。
nday 漏洞
定义:漏洞已公开、补丁已发布n天(n>1),但由于用户未及时更新,系统仍暴露在风险中。
现状:
全球约40%的服务器存在未修复的nday漏洞。
攻击成本低,常被用于大规模自动化攻击。
警示:很多企业忽视补丁管理,导致“老漏洞”反复被利用,如2017年的“永恒之蓝”至今仍有案例。
CVE:漏洞的“国际身份证”
全称:Common Vulnerabilities and Exposures(通用漏洞披露)。
作用:为全球已知的安全漏洞提供唯一标识符,便于统一追踪和管理。例如:CVE-2018-5002。
管理机构:由美国MITRE公司维护,是国际公认的标准。
意义:
安全研究人员、厂商、用户可通过CVE编号快速定位漏洞详情。
是漏洞情报共享、漏洞扫描工具、安全公告的基础。
三、CNVD:中国的“国家级漏洞库”
全称:国家信息安全漏洞共享平台(China National Vulnerability Database)。
主管单位:由国家计算机网络应急技术处理协调中心(CNCERT)牵头建立。
职责:
收集、验证、发布国内发现的信息安全漏洞。
联合政府、企业、安全厂商建立漏洞预警与应急响应体系。
与CVE的关系:
CNVD会将符合条件的漏洞提交至CVE,获得国际编号。
同时也发布仅适用于国内环境的漏洞信息,更具本地化响应能力。
类比理解:
CVE 像是“全球漏洞护照”,每个漏洞一个编号。
CNVD 像是“中国漏洞管理局”,负责国内漏洞的发现、协调与通报。
总结:术语关系图谱
| 术语 | 类型 | 作用 | 是否国际标准 |
|---|---|---|---|
| 0day | 漏洞阶段 | 描述“厂商未知、攻击已发生”的状态 | 否 |
| 1day | 漏洞阶段 | 补丁刚发布,修复未普及 | 否 |
| nday | 漏洞阶段 | 补丁已发布n天,仍可利用 | 否 |
| CVE | 漏洞标识 | 国际统一编号系统 | 是 |
| CNVD | 漏洞平台 | 中国国家级漏洞共享与管理平台 | 否(国内主导) |
漏洞的“保质期”:0day/1day/Nday
刚入门网络安全的朋友应该听过一个词,叫”0day“,很多朋友不太了解,可能还以为是别的意思,这里就简单介绍一下,什么是”0day“?
什么是”0day “?
0day一般有两个含义:
0day漏洞通常是指还没有补丁的漏洞。也就是说官方还没有发现或者是发现了还没有开发出安全补丁的漏洞
比如说,某年月日,微软发布了一个补丁,修补了一个安全漏洞,那么这个安全漏洞是什么时候出现的,可能已经有几年时间了,有些甚至超过10年时间,在未发布补丁之前,这个漏洞就是0day。
0day攻击利用0day漏洞进行的攻击,特点是利用简单,危害较大
0day :
0day 是网络安全技术中的一个术语,特指被攻击者掌握却未被软件厂商修复的系统漏洞。
0day 漏洞是攻击者入侵系统的终极武器,资深的黑客手里总会掌握几个功能强大的 0day漏洞。
0day 漏洞是木马、病毒、间谍软件入侵系统的最有效途径。
由于没有官方发布的安全补丁,攻击者可以利用0day对目标主机为所欲为,甚至在Internet上散布蠕虫。因此,0day 漏洞的技术资料通常非常敏感,往往被视为商业机密。
对于软件厂商和用户来说,0day 攻击是危害最大的一类攻击。
针对 0day 漏洞的缓冲区溢出攻击是对技术性要求最高的攻击方式。
世界安全技术峰会 Black Hat 上每年最热门的议题之一就是“zero day attack/defense”。微软等世界著名的软件公司为了在其产品中防范“zero day attack”,投入了大量的人力、物力。
全世界有无数的信息安全科研机构在不遗余力地研究与 0day 安全相关的课题。
全世界也有无数技术精湛的攻击者在不遗余力地挖掘软件中的 0day 漏洞。
0day漏洞:
- 定义:0day漏洞,也被称为“零日漏洞”,意味着从漏洞被发现的那一天开始,就已经存在被利用的风险。这是软件、系统中一个此前未被厂商知晓,更未发布补丁修复的漏洞,而攻击者却可能先一步发现并利用它发起攻击。
- 特点:价值连城,尤其在黑市中,针对应用较广的系统、中间件(如Win系统、nginx中间件)的0day漏洞,售价可达数百万美元。
- 场景:0day漏洞在网络犯罪领域可能被用于入侵电商平台、篡改交易数据、非法获取用户支付信息等。在APT(高级持续性威胁)攻击中,攻击者会长期潜伏在目标网络中,寻找并利用0day漏洞,持续窃取敏感信息。
1day漏洞:
- 定义:当0day漏洞被公开披露后,软件或系统开发者会迅速响应,争取在最短时间内发布修复程序。而在漏洞公开后的第一天内,如果开发者发布了修复补丁,这个漏洞就被称为1day漏洞。它处于从被发现到被修复的过渡阶段。
- 风险:尽管1day漏洞已经有了修复补丁,但并非所有用户都会及时更新。一些企业或个人可能由于系统兼容性问题、担心更新带来新的未知问题等,延迟安装补丁,这给攻击者留下了可乘之机。
Nday漏洞:
- 定义:Nday漏洞是指漏洞已经被公开披露,并且修复补丁也已经发布了n天(n可以是几天、数月甚至数年),但由于种种原因,仍有部分用户没有安装补丁,使得这些用户的系统继续暴露在风险中。
- 现状:全球约40%的服务器存在未修复的Nday漏洞。
- 警示:如2017年爆发的永恒之蓝漏洞,在后续多年中依旧存在并被利用。
CNNVD:漏洞管理的“国家队”
CNNVD,即国家信息安全漏洞库,是我国国家级信息安全漏洞共享平台之一,由公安部牵头建设和管理。它致力于整合国内网络安全漏洞资源,形成全面、权威的漏洞信息库,为我国网络安全防护体系提供有力支撑。CNNVD与CNVD一样,都是我国在网络安全漏洞管理方面的重要力量,但在职能和侧重点上存在一定差异。
CNVD:国家层面的漏洞“守护者”
CNVD,全称国家信息安全漏洞共享平台,是由国家计算机网络应急技术处理协调中心(CNCERT)联合国内重要信息系统单位、基础电信运营商、网络安全厂商、软件厂商和互联网企业建立的国家网络安全漏洞库。它承担着收集、整理、分析和发布国内网络安全漏洞信息的重要职责。
CVE:漏洞的“国际身份证”
CVE,即Common Vulnerabilities and Exposures,通用漏洞披露。它给每个漏洞分配了一个全球唯一的编号,这个编号包含了漏洞的基本信息,如漏洞发现时间、影响的软件或系统、漏洞的简要描述等。例如,CVE-2021-44228,其中“2021”表示漏洞被发现的年份,“44228”是该漏洞在这一年中的编号。通过CVE编号,安全人员可以快速准确地定位和了解一个漏洞的相关信息,方便在全球范围内进行信息共享和协同应对。
NVD:全球漏洞信息的枢纽
NVD,即National Vulnerability Database,由美国国家标准与技术研究院(NIST)下属的计算机安全资源中心(CSRC)运营维护。NVD整合了来自全球的漏洞信息,与CVE体系紧密结合,为用户提供详细的漏洞描述、影响评估、修复建议等内容,是网络安全领域重要的信息资源库。
如何应对这些漏洞风险
- 及时更新系统和软件:个人用户应养成定期更新操作系统、应用软件的习惯。企业则需建立更完善的更新机制,确保所有系统及时得到更新。
- 加强安全防护意识:时刻保持警惕,不随意点击来路不明的链接,避免成为黑客利用漏洞进行攻击的受害者。
- 利用安全工具:个人用户可以安装杀毒软件、防火墙等安全工具。企业则需部署更专业、更全面的安全防护设备,如防火墙、态势感知等,并定期对内部网络进行漏洞扫描。
结语
了解0day、1day、nday、CVE等概念,是提升网络安全意识、做好安全防护工作的基础。在浩瀚的网络世界中,每个人都是网络安全防线的一环。在漏洞面前,没有绝对的攻防,只有持续的较量。我们应时刻保持警惕,积极应对各类漏洞风险,共同维护网络安全。
