奇安信云锁在实战攻防演练中捕获0day攻击

在今年某公司举行的内部实网攻防演练中，攻防人员利用奇安信旗下服务器安全产品云锁，成功捕获了攻击队的0day漏洞攻击行为。

事实上，在攻防演练的过程中，受限于演练规则，0day漏洞并不经常出现。但攻击者一旦掌握0day漏洞，可以说就掌握了绝对的主动权。

据奇安信威胁情报中心发布的《2019全球高级持续性威胁（APT）研究报告》显示，近些年来APT攻击中0day漏洞的利用不断增长。因此，针对0day漏洞利用的防护已经成为检验实战攻防能力的重要标准。

在前不久奇安信服务器安全防护体系发布会上，奇安信网络安全部总经理聂君曾表示，在攻防实战中，通过服务器主机端上的安全防护和检测，能够建立企业最重要的服务器安全资产全貌，并在主机端上实现攻防对抗，有效抑制攻击方的横向移动。很快，这句话便再次得到了验证。

据了解，在此次攻防演练过程中，攻击队发现该业务部分开源代码存在一处可利用的远程代码执行漏洞（RCE）。经攻击团队研判，该漏洞属于业务系统0day。由于该漏洞的利用与业务正常访问无异，攻击团队轻松绕过了业务边界防护设备的检测。而在很多情况下，由于攻防双方天然的不对等，攻方突破边界防护是不可避免。

在突破边界防御后，为了进一步躲避反病毒软件和流量检测设备，攻击者通过该漏洞上传了经过混淆处理后的后门文件，并且对攻击流量进行了加密处理。

正当攻击者想要通过上传的后门文件发起反向连接，从而获取系统操作权限时，奇安信云锁通过采集的全量行为日志以及管理中心的实时行为分析，快速发现了该异常行为，产生事件告警。针对该告警，防守方人员根据事件中详细记录的攻击的IP，异常进程，异常文件，用户，反连地址等信息，成功追踪攻击流程及IP，并在第一时间对样本和服务器进行了分析处置，将该业务快速下线，成功阻止了攻击者的进一步渗透，保证了内部服务器的安全运行。

“此次事件中，奇安信云锁通过EDR行为监控，入侵检测，事件回溯等功能，成功为用户发现0DAY攻击并进行实时告警，使用户成功封堵攻击突破口，保证了企业内网的安全。0day漏洞攻击的成功防护，也表明了奇安信云锁是可以经受住实战考验的，”奇安信云锁产品负责人说到。

毋庸置疑的是，在实战化网络攻防过程中，无论是云数据中心还是传统数据中心，服务器都是网络攻防的重点。作为奇安信服务器安全防护体系重要的支撑产品，奇安信云锁基于服务器端轻量级Agent，通过In-App WAF探针、RASP探针、内核加固探针，能有效检测与抵御木马后门、暴力破解、漏洞利用、SQL注入等针对服务器的恶意代码和黑客攻击。同时，产品融合资产清点、风险发现、补丁及漏洞检测、基线检查、微隔离、攻击溯源等安全能力，在服务器端建立事前加固、事中对抗、事后溯源的一体化防护体系。