如何发现“超危”0day漏洞

惊心：0day漏洞被确认为「超危」

近日，某金融企业与中睿天下收到了国家信息安全漏洞库（CNNVD）发出的《信息安全漏洞提交证明》。经验证，该0day漏洞被中国国家信息安全漏洞库确认为「超危」。

根据漏洞的影响范围、利用方式、攻击后果等情况，CNNVD将漏洞的危害级别划分为四个等级，从高至低依次分为超危、高危、中危和低危。

该办公系统几乎是每个企业必备，「超危」则意味着该0day漏洞存在巨大的风险。如果没有及时发现，后果不堪设想。

漏洞级别：超危

溯源：未知0day如何被发现？

未知威胁发现四部曲：部署睿眼-发现威胁-溯源还原-验证漏洞。

1

部署睿眼产品

2018年年中，某金融企业部署使用睿眼•WEB攻击溯源系统还不到半年。

睿眼·web产品界面

2

发现未知威胁

在一次看似再寻常不过的巡检中，安全工程师通过睿眼，发现了异常——某系统被攻击者植入Webshell。

睿眼·web发现后门

3

溯源还原过程

中睿天下立即派遣安全专家进驻用户现场还原事实真相。

通过睿眼攻击溯源模块，快速对上传后门的IP进行全流量回溯，发现了攻击，并完整地还原了整个攻击的全过程。

睿眼·web溯源攻击过程

4

验证并修复漏洞

通过测试，中睿天下安全专家与该金融企业安全负责人发现此0day漏洞危害较高，无需登录后台就能利用。且针对该系统的所有版本，攻击者可直接上传任意文件。

对此，项目组迅速联动其他部门，有针对性地进行整改。

联防：申报漏洞并预警

金融行业属于国家关键信息基础设施，同时也是黑客的主要攻击目标。

考虑到此办公系统在金融行业应用广泛，中睿天下立马联合发现0day漏洞的金融企业，将漏洞的详细情况第一时间报送国家信息安全漏洞库CNNVD。

每

日

问

答

Q：为什么睿眼•WEB攻击溯源系统能发现未知威胁？

A：因为睿眼不仅基于漏洞特征检测，还会对网络行为进行锚点建模，形成基于黑客目的及行为的新型威胁检测模型，所以能够及时发现异常的网络行为，深度洞察各类高隐蔽性的威胁。