搜索
搜索
imgboxbg

新闻中心

当前位置:
首页
/
/
漏洞处置的“万金油”,网御星云EDR展露锋芒

漏洞处置的“万金油”,网御星云EDR展露锋芒

  • 分类:新闻中心
  • 作者:
  • 来源:
  • 发布时间:2022-03-07 15:49
  • 访问量:

【概要描述】据NVD报告显示,2021年漏洞CVE数量已经创下历史新高,并连续第五年打破历史纪录,2021年报告了18378个漏洞,虽然高危漏洞略有下降,从2020年的4381个下降到了3646个。但中等风险、低风险漏洞均高于去年,分别为11767个,低风险漏洞数量为2965个。

漏洞处置的“万金油”,网御星云EDR展露锋芒

【概要描述】据NVD报告显示,2021年漏洞CVE数量已经创下历史新高,并连续第五年打破历史纪录,2021年报告了18378个漏洞,虽然高危漏洞略有下降,从2020年的4381个下降到了3646个。但中等风险、低风险漏洞均高于去年,分别为11767个,低风险漏洞数量为2965个。

  • 分类:新闻中心
  • 作者:
  • 来源:
  • 发布时间:2022-03-07 15:49
  • 访问量:
详情

据NVD报告显示,2021年漏洞CVE数量已经创下历史新高,并连续第五年打破历史纪录,2021年报告了18378个漏洞,虽然高危漏洞略有下降,从2020年的4381个下降到了3646个。但中等风险、低风险漏洞均高于去年,分别为11767个,低风险漏洞数量为2965个。

随着攻防、渗透等工作的常态化开展,漏洞风险问题成为了安全从业人员最为关注的信息点之一,“0day”“在野”“新型”漏洞层出不穷,因一个漏洞定位问题导致运维人员通宵鏖战的状况时有发生,如何在安全产品了解漏洞信息并转化成可行规则的“真空期”内,对漏洞影响范围进行定位并执行应急处置,成为了运维工作面临的挑战之一。

回归本质,系统漏洞、应用漏洞最终落脚点在终端,漏洞问题同样也是终端安全问题。为此,网御星云结合在终端安全相关领域的实践经验,基于网御星云EDR提炼出一套可称之为“万金油”的解决方案,贯穿漏洞应急发现、定位、处置环节的完整闭环,以向日葵远程命令执行漏洞来举例说明网御星云EDR在漏洞响应中的技术与战术。

漏洞介绍

国家信息安全漏洞共享平台于2月5日发布安全公告CNVD-2022-03672 ,提及向日葵简约版<= V1.0.1.43315(2021.12)存在命令执行漏洞,2月15日发布安全公告CNVD-2022-10270,提及向日葵个人版forWindows(影响版本<= 11.0.0.33)存在命令执行漏洞,攻击者可利用该漏洞远程获取个人电脑或服务器的控制权。向日葵是一款集远程控制电脑手机、远程桌面连接、远程开机、远程管理、支持内网穿透的一体化远程控制管理工具软件。

漏洞防御

漏洞应用深度挖掘了解网内漏洞应用驻留

向日葵程序只有运行才有被利用的可能,同时需要明确了解在网内都有哪些终端运行低版本向日葵软件。网御星云EDR具备全量终端运行信息采集能力,涵盖:进程、文件、应用、命令行等在内十余类大项、超百种参数信息,可完整复现终端运行过程,利用采集到的运行过程信息添加带有判定规则的二次挖掘能力,在向日葵远程命令执行漏洞中,通过自定义策略找出运行低于“向日葵远程控制_11.0.0.33162”版本的进程,找出包含漏洞应用的终端。

高危命令执行监测及账户变动检测

进程同样基于全量信息采集中的命令行信息,对进程运行的夹带参数进行检测,防止漏洞被恶意利用,例如:新增用户、用户提权、反弹shell等。网御星云EDR均可对高危命令及账户变动进行有效检测,严密监控布防攻击“第一”阶段。

端口扫描行为检测防止漏洞被外部利用

向日葵远程命令执行漏洞中一个关键的开关项,就是要明确向日葵程序对外使用的端口,例如在外部采用xrkRce.exe工具进行定向的漏洞扫描行为。网御星云EDR可对漏洞扫描行为进行有效检测并阻断。

 

综上,即使在没有采用特征库的情况下,通过高度灵活的自定义信息挖掘能力也可让向日葵远程命令执行漏洞的一举一动无所遁形,不仅详细呈现出远程命令执行运行的各个动作,同时经过简单的关联分析即可得到完整回溯入口,有充足的信息做支撑,后续可继续使用网御星云EDR来指定响应处置,形成对“0day”“在野”“新型”漏洞的安全闭环,及时发现威胁线索的同时降低运维成本。

数字经济发展带来的多样化,将为终端安全带来更加广阔的发展前景。网御星云还将持续深耕终端安全领域,不断创新产品、技术及解决方案,推动终端安全行业快速发展。

网御星云EDR介绍

网御EDR作为网御星云公司推出新一代终端型安全产品,通过资产管理、监控采集、攻击检测、处置响应、分析溯源等能力构建终端维度的自身及横向的场景化安全能力,在等保、攻防对抗、零信任、云主机安全、安全运营等场景中广泛应用。

关键词:

扫二维码用手机看

这是描述信息

服务热线:
400-810-7766 (24H)
E-mail:

shfw@leadsec.com.cn
地址:
北京市海淀区东北旺西路8号中关村软件园21号

  • 抖音
    抖音
  • 微信
    微信
  • 微博
    微信

北京网御星云信息技术有限公司   京ICP备05080314号-1