首頁 > 關于我們 > 新聞動態 > 深度解讀

啟明星辰無驅Agent:守護終端安全,預防CrowdStrike藍屏危機

發布時間 2024-07-22

前言:


數智化時代,終端安全的重要性不言而喻。2024年7月19日,一場由CrowdStrike配置更新引發的全球藍屏危機,不僅暴露了Agent穩定性在復雜系統環境中的脆弱性,也為用戶及安全廠商敲響了警鐘。啟明星辰致力于打造穩固、可靠的終端安全產品,以預防和抵御潛在的系統危機,為企業的數字化轉型之路保駕護航。


一、藍屏危機


2024年7月19日,突如其來的一場藍屏危機,影響了世界各地的組織和服務,包括機場、電視臺和醫院等。事后據CrowdStrike官網披露,是在其日常運營過程中發布了Windows系統的傳感器配置更新,此配置更新觸發了邏輯錯誤,導致受影響系統崩潰和藍屏。官網解釋到,雖然配置文件的后綴是“sys”,但不是內核驅動。然而,從廣義范圍上來看它還是屬于驅動的范疇,其目錄位于C:\Windows\System32\drivers\CrowdStrike。


此外,CrowdStrike官網進一步闡明,上述提到的配置被稱為“信道文件”,是Falcon傳感器使用的行為保護機制的一部分。信道文件的更新是傳感器的正常操作,通常每天會進行數次,以響應CrowdStrike發現的新戰術、技術和程序。即使真是一次的測試疏忽,此次事件也提醒了用戶和安全廠商必須保持時刻警覺,安全防線不容絲毫懈怠。


二、危機警示


此次突發事件如同一記警鐘,也再次凸顯了Agent穩定性在復雜系統環境中的核心地位。具體而言,Agent的穩定運行不僅依賴于其內部架構的合理性,更關鍵在于驅動程序的健壯性及其與系統的無縫集成,以及測試流程的嚴謹性與全面性。因此,未來在Agent系統的設計與運維過程中,應采取更為嚴格的措施來加強驅動穩定性評估,并引入更先進的測試技術和方法,以全面覆蓋潛在風險點,從而構建起更加穩固、可靠的終端Agent軟件運行體系。


三、啟明星辰終端產品


1、穩定性至上:啟明星辰終端安全產品的核心理念


1)在主機場景中,業務大于安全,驅動存在穩定性差和兼容性差的缺點,因此使用無驅的事件采集方式,包括進程、文件、網絡等,但是傳統無驅采集的信息比較單一、分散,對于有驅采集事件的豐富程度,啟明星辰終端Agent結合多種采集錨點溯源案發現場,使其達到類似內核級驅動的效果。


2)在PC場景中,啟明星辰遵循輕驅、少驅或無驅模式,并嚴格遵守Windows驅動模型標準,使用的驅動技術均基于微軟的公開API,摒棄未公開API和內核hook等容易導致系統藍屏的技術方案,并通過靜態代碼檢查、微軟驅動工具驗證,從根源上減少藍屏問題出現的可能性。


3)在信創終端解決方案中,穩定性被置于設計的最前沿。啟明星辰通過操作系統供應商提供的原生化接口,成功規避內核hook所帶來的安全風險,顯著增強了系統的整體穩定性,從根本上減少了潛在的安全漏洞。由于無需額外加載第三方驅動,避免了驅動程序可能引入的安全隱患,如緩沖區溢出、權限提升等問題,大幅降低了系統卡頓、死機等問題的發生率,確保每一臺終端設備的安全能力處于穩定的運行狀態,免除系統崩潰的困擾。


2、高標準開發流程


啟明星辰終端安全產品團隊在產品開發時,遵守內部高標準開發規范,并搭配代碼交叉審計,自動化的白盒、灰盒檢測,內存工具檢查等,實現科學且嚴格的開發流程。


3、全面測試與風險控制


啟明星辰終端安全產品經過流程保證,采用全面的測試,針對可能引發穩定性風險及業務重要場景采用灰度環境更新到日常環境到核心環境更新的遞進流程,同時整體采用點驗證、面推廣,逐步抑制及消除風險,降低異常事件帶來的影響和損失。


歷經二十余載深耕細作,啟明星辰在Windows系統安全建設領域憑借深厚的市場積累與技術底蘊,不斷推出具備強大市場競爭力的終端安全產品,并已廣泛應用于運營商、政府、電力、金融等全行業用戶,以卓越品質的產品與專業的安全服務,持續護航客戶在數字化轉型的浪潮中穩健前行。

上一篇 下一篇