方程式危机 绿盟科技TVM情报驱动快速应急响应

北京时间4月14日晚间,Shadow Brokers组织公布了此前窃取的部分方程式(Equation Group)的机密文件。这部分被公开的文件曾经被Shadow Brokers组织以数亿美金拍卖,因为这部分文件包含了数个令人震撼的黑客工具,用来攻击包括Windows在内的多个系统漏洞。此次泄漏的文件包括三部分:Windows, Swift以及Odd。其中Windows目录下的黑客工具包含了IIS 6.0远程漏洞的利用;SMB1的重量级利用,可以用来攻击开放了445端口的Windows系统并且提权;RDP服务远程漏洞的利用,可以攻击开放了3389端口的Windows机器等等。开放了135,445,3389等端口的Windows服务器有很大概率受到攻击。

威胁情报+漏洞管理的快速应急响应

绿盟威胁和漏洞管理平台(简称TVM)第一时间获取到绿盟威胁情报中心(简称NTI)的漏洞情报——Window 0day远程执行漏洞,无需扫描,直接帮助企业判断是否存在该漏洞,并提供紧急防护方案,辅助企业针对性的进行应急处置。

图1 TVM从NTI获取到漏洞情报“Windows 0day远程执行漏洞”

图2 “Windows 0day远程执行漏洞”漏洞详情

图3 企业受影响资产示例

绿盟威胁和漏洞管理平台

绿盟科技关注全球范围安全漏洞情报,与安全厂商广泛合作,建立起绿盟科技的威胁情报系统(NTI),成为TVM方案的重要情报来源。TVM在企业本地部署管理平台,从绿盟云端威胁情报中心获取漏洞情报数据,也可导入企业首发漏洞情报,打通威胁情报到管理流程之间的通道,实现安全厂商到安全运维人员、以及情报和本地管理流程的结合,由情报触发预警,结合对本地网络资产的深度发现和持续监控,对资产细致梳理完善管理,推动人员和漏洞管理流程运转,帮助建立快速响应机制。

小结

回溯使用TVM 进行应急响应的过程,不难发现,通过TVM提供的情报驱动应急响应能力,省去了客户需要进行的升级周期等待,用户扫描周期等待,漏洞扫描,漏洞修复优先级方案判断等繁琐的流程步骤。从被动响应变成主动预警。客户可以直接根据TVM上运营管理的企业资产信息库,在同步NTI漏洞情报数据的同时,直接统计出企业受影响资产范围数据。

发表评论