安讯无驱Agent:守护终端安全,预防CrowdStrike蓝屏危机
发布时间 2024-07-22前言:
数智化时代,终端安全的重要性不言而喻。2024年7月19日,一场由CrowdStrike配置更新引发的全球蓝屏危机,不仅暴露了Agent稳定性在复杂系统环境中的脆弱性,也为用户及安全厂商敲响了警钟。安讯致力于打造稳固、可靠的终端安全产品,以预防和抵御潜在的系统危机,为企业的数字化转型之路保驾护航。
一、蓝屏危机
2024年7月19日,突如其来的一场蓝屏危机,影响了世界各地的组织和服务,包括机场、电视台和医院等。事后据CrowdStrike官网披露,是在其日常运营过程中发布了Windows系统的传感器配置更新,此配置更新触发了逻辑错误,导致受影响系统崩溃和蓝屏。官网解释到,虽然配置文件的后缀是“sys”,但不是内核驱动。然而,从广义范围上来看它还是属于驱动的范畴,其目录位于C:\Windows\System32\drivers\CrowdStrike。
此外,CrowdStrike官网进一步阐明,上述提到的配置被称为“信道文件”,是Falcon传感器使用的行为保护机制的一部分。信道文件的更新是传感器的正常操作,通常每天会进行数次,以响应CrowdStrike发现的新战术、技术和程序。即使真是一次的测试疏忽,此次事件也提醒了用户和安全厂商必须保持时刻警觉,安全防线不容丝毫懈怠。
二、危机警示
此次突发事件如同一记警钟,也再次凸显了Agent稳定性在复杂系统环境中的核心地位。具体而言,Agent的稳定运行不仅依赖于其内部架构的合理性,更关键在于驱动程序的健壮性及其与系统的无缝集成,以及测试流程的严谨性与全面性。因此,未来在Agent系统的设计与运维过程中,应采取更为严格的措施来加强驱动稳定性评估,并引入更先进的测试技术和方法,以全面覆盖潜在风险点,从而构建起更加稳固、可靠的终端Agent软件运行体系。
三、安讯终端产品
1、稳定性至上:安讯终端安全产品的核心理念
1)在主机场景中,业务大于安全,驱动存在稳定性差和兼容性差的缺点,因此使用无驱的事件采集方式,包括进程、文件、网络等,但是传统无驱采集的信息比较单一、分散,对于有驱采集事件的丰富程度,安讯终端Agent结合多种采集锚点溯源案发现场,使其达到类似内核级驱动的效果。
2)在PC场景中,安讯遵循轻驱、少驱或无驱模式,并严格遵守Windows驱动模型标准,使用的驱动技术均基于微软的公开API,摒弃未公开API和内核hook等容易导致系统蓝屏的技术方案,并通过静态代码检查、微软驱动工具验证,从根源上减少蓝屏问题出现的可能性。
3)在信创终端解决方案中,稳定性被置于设计的最前沿。安讯通过操作系统供应商提供的原生化接口,成功规避内核hook所带来的安全风险,显著增强了系统的整体稳定性,从根本上减少了潜在的安全漏洞。由于无需额外加载第三方驱动,避免了驱动程序可能引入的安全隐患,如缓冲区溢出、权限提升等问题,大幅降低了系统卡顿、死机等问题的发生率,确保每一台终端设备的安全能力处于稳定的运行状态,免除系统崩溃的困扰。
2、高标准开发流程
安讯终端安全产品团队在产品开发时,遵守内部高标准开发规范,并搭配代码交叉审计,自动化的白盒、灰盒检测,内存工具检查等,实现科学且严格的开发流程。
3、全面测试与风险控制
安讯终端安全产品经过流程保证,采用全面的测试,针对可能引发稳定性风险及业务重要场景采用灰度环境更新到日常环境到核心环境更新的递进流程,同时整体采用点验证、面推广,逐步抑制及消除风险,降低异常事件带来的影响和损失。
历经二十余载深耕细作,安讯在Windows系统安全建设领域凭借深厚的市场积累与技术底蕴,不断推出具备强大市场竞争力的终端安全产品,并已广泛应用于运营商、政府、电力、金融等全行业用户,以卓越品质的产品与专业的安全服务,持续护航客户在数字化转型的浪潮中稳健前行。