在網絡安全的術語中,有數個皆與「零」有關,若有志投身網絡安全界,或想在界別裡更上一層樓,便應認識這幾個「零」。
零日漏洞
軟件、硬件及系統總會有漏洞,網絡攻擊很多時便是針對這些漏洞而產生。而當製造商發現漏洞,便會作出更新修補,以防止被黑客利用;但若黑客先於製造商知道這些漏洞並作出攻擊,而製造商卻還沒有方法去修補時,我們便稱之為「零日漏洞」(Zero-day Vulnerability)。
業內有專門發掘漏洞的研究員,他們通常會遵守一套流程,就是每當發現一些新的漏洞,便要立即通知製造商,並給予對方足夠時間去製作「補丁」(修補程式),待修補完成後,才將漏洞公諸於世,這樣是為了避免黑客利用還沒修補好的漏洞去發動攻擊。
但並不是每個人或每一地區皆會遵從這套規則,例如不久前,便有研究員因只將新發現的漏洞通報製造商,卻沒上報政府而受罰;而在「斯諾登事件」中,更揭發有政府機構私藏一些「零日漏洞」作諜報用途。
「零日漏洞」對製造商來說很可怕,但對黑客而言卻很「珍貴」,因若漏洞被發現而作出修補,價值便會大減,所以它可說是黑客的「皇牌」,不會隨便動用。
零日惡意軟件
由此引申出來的有「零日惡意軟件」(Zero-day Malware),意指全新的病毒,連防毒軟件亦未有對應的病毒辨識程式(Signature);還有「零號感染源頭」(Patient Zero),即第一個受「零日漏洞」或「零日惡意軟件」攻擊的系統。如用生活化比喻,新冠肺炎就是一個實體的「零日」(Zero-day)病毒。
零信任保安
近兩三年常聽到「零信任保安」(Zero Trust Security),「零信任」(Zero Trust)說穿了就是「一視同仁」,即沒甚麼是可以完全信任的。它的出現,是基於我們從前會將網絡分為「信任」或「不信任」,對來自不信任網絡的用戶,我們會有多些管制;而對於可信任網絡的用戶,管制則會少些。但當網絡的邊界日漸模糊、來自機構「內鬼」的威脅不比外面黑客少,「零信任保安」正是提倡不論用戶或裝置在任何地方,皆要做相同的認證、授權及檢測。
由「零信任保安」引申出來的有「零信任網絡存取」(Zero Trust Network Access),它是指在內部網絡中也採取「默認拒絕」(Default Deny)的方法,即若要存取每一個系統,便要取得明確的網絡授權;「微切分架構」(Micro-segmentation)便是實施「零信任保安」的方法之一。
作為網絡安全從業員,絕對要認識這些業界「潮語」。但風向「三年一小變,五年一大變」,要站穩陣腳,還是要看基本功,因此需不斷自我提升和進步,才可達到網絡安全終極目標—「零意外」(Zero Incident)。
文:葉曼春
香港電腦學會網絡安全專家小組執行委員會成員