安全圈里的“教科书”式检测 一看就懂
发布时间 2020-08-18举个栗子
某天突然接到一客户要做实战演练,启明星辰安全人员紧急协调设备直奔客户现场。
配地址、接流量……5分钟完成上线部署。
设备运行30分钟后,一条为“HTTP_可疑行为_PUT方法写入文件”事件映入安全人员的视线。
检测结果为“成功”。
页面查看返回信息,发现返回信息为CREATED,说明文件已被创建。
立即和客户进行沟通,确认此为客户正常业务,需要写入文件。凭着安全人员的专业判断,以上发现返回信息为CREATED的问题应该是业务系统存在漏洞。
经客户同意后进行验证。启明星辰安全人员开始对目标主机进行漏洞验证,扫描发现目的主机同时开放了80和81端口,80用于页面访问,81用于接收上传文件,登录该系统的81端口,发现是原生的APACHE页面。
通过代码调用PUT方法上传"text-align: center;">
访问服务器上传文件的路径,发现可以访问并展示了文件内容,说明服务器不具备"text-align: center;">
改用PHP进行尝试。
发现已经执行了PHP语句的输出操作,说明具备PHP的编译环境,不法分子可以利用该漏洞上传写入webshell,从而实现渗透的目的。
整个过程,除了安全人员的专业能力外,离不开部署的网络安全产品——启明星辰天阗威胁分析一体机。
启明星辰集团自主研发的天阗威胁分析一体机是基于下一代双向检测引擎能力,可提供高级威胁检测、威胁情报应用、威胁模型分析、重点保护对象分析、网络脆弱性分析、全流量威胁可视化等功能,为客户提供一套集检测、分析、可视、闭环响应为一体的本地网络安全分析中心。
产品优势
1、集成沙箱检测功能,加强未知威胁检测能力,帮助用户发现高级威胁。
2、内置下一代检测引擎,具备双向检测能力,能够通过返回信息判断威胁行为是否成功;支持基于会话进行网络报文全字段提取;支持如冰蝎、CVE-2019-0708等热点事件的双向检测。
3、提供多种价值场景,如弱口令、暴力破解、可疑隧道、可疑HTTPS通信等,提升有效性分析能力,辅助用户溯源分析和威胁研判。
4、提供一体化威胁检测分析设备,提升上线部署效率,快速发挥效果。
5、整合现有资源,可以无缝对接客户已部署启明星辰的IPS、IDS、防火墙、CS、FlowEye、APT等设备,降低客户部署总成本。
启明星辰依托自身在安全行业多年的经验积累和技术沉淀,为适应信息安全技术发展的新趋势,适时推出的一款威胁检测、分析和响应的一体化产品——天阗威胁分析一体机。该产品集网络流检测、文件检测和威胁分析于一体,提供专业的威胁实时监测、预警与处置,充分满足运维人员、安全服务人员的需求。
京公网安备11010802024551号