启明星辰终端型安全产品——天珣EDR抵御漏洞“小能手”
发布时间 2022-03-01近日,国家信息安全漏洞共享平台发布的安全公告提及了向日葵命令执行漏洞,入侵者可利用该漏洞远程获取个人电脑或服务器的控制权。面对诸如此类的安全威胁,如何对其影响范围进行定位并执行应急处置,看启明星辰天珣终端高级威胁检测与响应系统(以下简称“天珣EDR”)如何应对。
全量信息采集 精准定位漏洞终端
向日葵程序只有在运行后才有被利用的可能,要想加以阻止首先需要明确在网内都有哪些终端运行了此程序。天珣EDR具备全量终端运行信息采集能力,涵盖进程、文件、应用、命令行等十余类大项、超百种参数信息,可完整复现终端运行过程,利用采集到的运行过程信息添加带有判定规则的二次挖掘能力,在向日葵远程命令执行漏洞中,天珣EDR通过自定义策略找出了运行低于“向日葵远程控制_11.0.0.33162”版本的进程,成功定位到包含漏洞应用的终端。
严密布控 全面检测攻击“第一步”
天珣EDR进程检测还全面覆盖了进程启动时带出来的命令行信息与进程运行的夹带参数,防止漏洞被恶意利用,例如新增用户、用户提权等。对高危命令及账户变动,均可进行有效检测,严密监控布防攻击“第一”阶段。
端口扫描检测 防止漏洞被利用
向日葵远程命令执行漏洞中的关键利用点是要先知道向日葵程序对外使用的端口,例如在外部采用xrkRce.exe工具进行定向的漏洞扫描行为,针对这种漏洞扫描行为,天珣EDR可以进行有效检测并阻断,保护终端安全。
这样一看,即使没有漏洞特征,天珣EDR依旧可以通过高度灵活的自定义信息挖掘能力,让漏洞无所遁形,详细呈现远程命令执行运行的各个动作,并通过简单的关联分析得到完整回溯入口。有了充足的信息做支撑,用户后续可以继续使用天珣EDR来指定响应处置,形成对“0day”“在野”“新型”漏洞的安全闭环,在及时发现威胁线索的同时降低运维成本。
据NVD报告显示,2021年漏洞CVE数量创下了历史新高,但漏洞终究是发生在终端的安全问题,天珣EDR凭借在终端安全相关领域多年的实践经验,提炼出贯穿漏洞应急发现、定位、处置环节的完整闭环,保障用户终端安全。
作为网络安全行业的领军品牌,启明星辰集团将进一步发挥突出的技术优势与经验积累,继续在终端安全领域开拓创新,助力网络安全行业健康稳定发展。
京公网安备11010802024551号