终端安全防范：网御星云无侵技术路线“破群障”

大事件敲响警钟

2024年7月19日，突如其来的意外蓝屏危机，影响了世界各地的组织和服务，包括机场、电视台和医院等。事后据CrowdStrike官网披露，其在日常运营过程中发布了Windows系统的传感器配置更新，此配置更新触发了逻辑错误，导致受影响系统崩溃和蓝屏。据官网解释，虽然配置文件的后缀是sys，但不是内核驱动，从广义范围上还是属于驱动范畴，其目录位于C:\Windows\System32\drivers\CrowdStrike\。

官网继续解释到，上述提到的配置被称为“信道文件”，是Falcon传感器使用行为保护机制的一部分。信道文件更新是传感器的正常操作，每天会发生几次，以响应CrowdStrike发现的新战术、技术和程序。即使真是一次测试疏忽，也给用户及安全厂商敲响了警钟：谁也无法预知未来，意外和明天，哪个先来都不奇怪。

事件警示

此次突发事件再度证明了agent稳定性在复杂系统环境中的核心地位。具体而言，agent的稳定运行不仅依赖于内部架构的合理性，关键在于驱动程序的健壮性及其与系统的无缝集成，以及测试流程的严谨性与全面性。因此，未来在agent系统的设计与运维过程中，应采取更为严格的措施来加强驱动稳定性评估，并引入更先进的测试技术和方法，以全面覆盖潜在风险点，从而构建起更加稳固、可靠的终端agent软件运行体系。

网御星云终端产品揭秘

1.在设计理念方面，网御星云始终把稳定性放在第一位

（1）在主机场景中，业务大于安全，由于驱动存在不稳定性和兼容性差等缺点，往往使用无驱的事件采集方式，包括进程、文件、网络等，但是传统无驱采集的信息比较单一、分散，因此，网御星云终端 agent 结合多种采集锚点溯源案发现场，达到类似内核级驱动的采集效果。

（2）在PC场景中，遵循轻驱、少驱或无驱模式，并严格遵守Windows驱动模型标准，使用的驱动技术均基于微软的公开API，摒弃未公开API和内核hook等容易导致系统蓝屏的技术方案，并通过静态代码检查、微软驱动工具验证，从根源上减少蓝屏问题出现的可能性。

（3）在信创终端解决方案中，稳定性被置于设计的最前沿。通过操作系统供应商提供的原生化接口，成功规避内核hook所带来的安全风险，显著增强了系统的整体稳定性，从根本上减少潜在安全漏洞。由于无需额外加载第三方驱动，避免了驱动程序可能引入的安全隐患，如缓冲区溢出、权限提升等问题，大幅降低了系统卡顿、死机等问题的发生率，确保每一台终端设备的安全能力处于稳定运行状态，免除系统崩溃的困扰。

2.在产品研发方面，网御星云始终遵循高标准开发规范

网御星云终端安全产品团队在产品开发时，严守公司内部高标准开发规范，同时实施代码交叉审计机制，结合自动化的白盒、灰盒检测以及内存工具检查等措施，确保开发流程的科学和严谨。

3. 在产品测试方面，网御星云遵循“点验证、面推广”原则，逐步抑制风险

网御星云终端安全产品历经严谨的流程保障，经过全面的测试，针对可能引发的稳定性风险及业务核心场景，采用“灰度环境”“日常环境”“核心环境”等更新流程，逐步实现递进式更新。整体策略遵循“点验证、面推广”原则，逐渐抑制并消除潜在风险，有效降低异常事件带来的影响和损失。

二十余年中，网御星云终端安全产品线在Windows系统安全建设领域积累了丰富的市场经验和技术沉淀，拥有专业团队及‌强大的技术实力，并适时推出符合各行业场景的产品及解决方案。目前，终端安全产品已被广泛应用于运营商、政府、电力、金融等在内的全行业用户，持续‌为客户提供高品质的终端安全保护服务。