如何发现“超危”0day漏洞

惊心:0day漏洞被确认为「超危」

近日,某金融企业与中睿天下收到了国家信息安全漏洞库(CNNVD)发出的《信息安全漏洞提交证明》。经验证,该0day漏洞被中国国家信息安全漏洞库确认为「超危」。

根据漏洞的影响范围、利用方式、攻击后果等情况,CNNVD将漏洞的危害级别划分为四个等级,从高至低依次分为超危、高危、中危和低危。

该办公系统几乎是每个企业必备,「超危」则意味着该0day漏洞存在巨大的风险。如果没有及时发现,后果不堪设想。

漏洞级别:超危

溯源:未知0day如何被发现?

未知威胁发现四部曲:部署睿眼-发现威胁-溯源还原-验证漏洞。

1

部署睿眼产品

2018年年中,某金融企业部署使用睿眼•WEB攻击溯源系统还不到半年。

睿眼·web产品界面

2

发现未知威胁

在一次看似再寻常不过的巡检中,安全工程师通过睿眼,发现了异常——某系统被攻击者植入Webshell。

睿眼·web发现后门

3

溯源还原过程

中睿天下立即派遣安全专家进驻用户现场还原事实真相。

通过睿眼攻击溯源模块,快速对上传后门的IP进行全流量回溯,发现了攻击,并完整地还原了整个攻击的全过程。

睿眼·web溯源攻击过程

4

验证并修复漏洞

通过测试,中睿天下安全专家与该金融企业安全负责人发现此0day漏洞危害较高,无需登录后台就能利用。且针对该系统的所有版本,攻击者可直接上传任意文件。

对此,项目组迅速联动其他部门,有针对性地进行整改。

联防:申报漏洞并预警

金融行业属于国家关键信息基础设施,同时也是黑客的主要攻击目标。

考虑到此办公系统在金融行业应用广泛,中睿天下立马联合发现0day漏洞的金融企业,将漏洞的详细情况第一时间报送国家信息安全漏洞库CNNVD。

Q:为什么睿眼•WEB攻击溯源系统能发现未知威胁?

A:因为睿眼不仅基于漏洞特征检测,还会对网络行为进行锚点建模,形成基于黑客目的及行为的新型威胁检测模型,所以能够及时发现异常的网络行为,深度洞察各类高隐蔽性的威胁。

  • 发表于:
  • 原文链接https://kuaibao.qq.com/s/20181108A1KBJ900?refer=cp_1026
  • 腾讯「云+社区」是腾讯内容开放平台帐号(企鹅号)传播渠道之一,根据《腾讯内容开放平台服务协议》转载发布内容。
  • 如有侵权,请联系 yunjia_community@tencent.com 删除。

扫码关注云+社区

领取腾讯云代金券