0day漏洞時代,誰的手速更快?
過去,在發現安全漏洞時,只能采用“漏洞公開-補丁發布-用戶安裝”這樣的流程。若漏洞被攻擊者利用時,補丁還未發布,那便會給用戶造成相當的破壞。這便是0day漏洞。
它的防護難點就在于,從漏洞發現到攻擊者利用的時間已經大大縮短,從過去的幾個月迅速減少到數天。在對應的補丁出來前,攻擊的破壞就已經擴散開來。在“用戶安裝補丁”和“攻擊者利用漏洞”兩個動作間,拼的就是手速,看誰的動作更快。
兵貴神速,行為檢測的0day防護
如果僅僅只靠打補丁,希望能通過快速打補丁來獲得安全防護,必然是不夠的。因為這里總會存在一個時間差,給攻擊者留下可乘之機。杰思安全彎道超車,拋棄“漏洞公開-補丁發布”的堵漏洞模式,而是從行為檢測入手。杰思安全打造的新一代主機安全響應系統——杰思獵鷹,在資產的全面清點的基礎上,通過對系統進行動態和穩態相結合的持續監測,以及智能行為追蹤檢測,并進行自動化響應。
這種方式,能在攻擊鏈條的任一環節進行狙擊攔截,無論是0day漏洞還是Nday漏洞,都能快速阻止入侵行為,為主機提供更有效、精準、便捷的安全防護。
化后知為先覺,實時告警
通過對主機內部安全情況的全面持續檢測,可在發現異動的第一時間快速告警。各類異常告警信息的接入,通過自動聚類、降噪去重,一鍵降噪,大大提升了告警信息的精確度。同時自動合并相似告警,降低安全管理人員辨析告警價值的成本。
變被動為主動,自動化響應
在發出告警的同時,還可根據預先配置的安全策略,對異常行為/事件進行實時響應處理。系統預置多維智能響應模板,還可基于業務進行自定義特征變化管理。當響應條件被觸發時,進行自動化的響應處置,大大減少威脅從被發現到處置的時間,降低風險隱患。同時,針對不同安全事件匹配不同的響應動作組合,還能遠程推送執行響應腳本,實現緊急情況下的一鍵快速處置。
唯快不破,實戰見真知
在永恒之藍肆虐全球的時候,杰思獵鷹就已經通過持續的行為檢測和響應,幫助用戶成功抵御WannaCry的入侵,更享受到“不拔網線、不打補丁、不封端口”的暢快體驗。而后,在多次攻防實戰中,即便是在漏洞沒打補丁的情況下,杰思獵鷹都展示出令人驚嘆的響應速度和卓越有效的防護能力。
實戰1:
背景:
CVE-2021-26867是Exchange郵箱服務器近期較為嚴重RCE漏洞。利用該漏洞攻擊者可以獲取郵箱服務器最高權限。成功上線具有高權限的后門程序,繼而通過C&C服務器下發命令完成目標。
實戰:
防守方管理員收到杰思獵鷹告警:某臺Exchange服務器出現越權執行。通過查看詳情,發現該異常動作已經通過預先配置的安全策略被自動阻斷。同時,通過下發腳本,快速清除失陷主機系統上的惡意文件。
實戰2:
背景:
Windows Win32k特權提升漏洞,本地攻擊者可以利用此漏洞提升到system權限。因此利用該漏洞執行的惡意程序將具有最高權限。
實戰:
杰思獵鷹發出告警:某業務主機出現本地提權。與此同時,通過自定義的安全策略,對權限提升的異常動作進行自動化的阻斷處理。由于該業務主機處于關鍵業務組,為防止攻擊影響面的擴散,將失陷主機一鍵隔離下線。同時,對攻擊工作進行日志記錄,為后續的調查取證提供證據。
