开局就扔王炸？0day不要钱啊

有着多年防守经验的老王，依然对这段经历记忆犹新。2023年的0day在实战演习期间迎来了大爆发，每天都会曝光新的0day，少则3-5个，多则十数个甚至数十个。

随着实战攻防演习的常态化开展，0day成了“撕口子”的常规武器。能够预见，在今年的实战对抗期间，0day只会有增无减。

本来，老王自认为准备得很充分，攻击面该收敛的收敛、补丁该打也打了，规则库也更新到最新版本，但对0day炸街始料未及。

在有确切的公告发布之前，老王只好多方打听求助。经验告诉他，这么多所谓0day曝出，肯定有真有假。

果然，对于同一条漏洞传闻，不同人给出了不同的结论：

有人拍着胸脯说，比真金还真，我看网上已经有人复现了，相关资产能下线早点下线吧；还有人不屑的说，听他们瞎扯，是真的我直接吃；还有人面临和老王一样的窘境，兄弟，你要有消息记得通知我一下。

真真假假的所谓0day占用了太多时间，而且往往是啥都还没打听到，一条新的0day消息又出现了。

与Nday相比，0day是没有任何补丁。

“宁可信其有，不能信其无！”抱着这种心态，老王硬着头皮，无论如何得确认下到底受影响的机器和资产有哪些，不行先下线了。

被打穿的滋味，并不太好受。

“这肯定不行啊，八字没一撇的事情你就让我下线，你这儿停了我业务怎么办？不能听风就是雨啊。”果不其然，业务部门对停机下线这种事情并不太认可，没办法，老王只好又回来把受影响的机器看了又看，先把出网断掉，断不到的就只能听天由命了。

然而这也只是权宜之计，对于可以直接执行Shell命令的漏洞，断出网并不能阻挡红队获得系统控制权限，但至少可以阻断一部分反连。

不过话说回来，老王没有错，缺少上下文和细节的0day，并不太好解决。

正盯着满屏0day传闻头皮发麻的时候，老王收到了一份重要的漏洞情报：

看着报告内容，老王立马按图索骥行动了起来。

数据统计，在去年8月微步监测到的950+漏洞信息中，经微步情报局验证真实存在的漏洞为300+个，其中0day/1day为100+，占比不到九分之一。

正忙着处置漏洞呢，一条消息突然吸引了老王的注意力。

“你之前问的洞，我拿到PoC了，我一会儿发你。”有朋友私信说，红队拿这个洞打他们。

“我去，你被打穿了？”老王略显激动地回复。

“差点，打完刚写shell微步TDP就弹了告警，我们就直接联动OneSIG给IP封了。”

“666！”对于这个结果，老王一时想不到更确切的话来回复，只好机械地在数字键盘上连敲三下。

宣称能检测0day的产品有很多，但谁都清楚，0day要那么好检测，那就不叫0day了。

“要不，我也测一下？哪怕这一次攻防演习赶不上，看形势明年0day也只会有过之而无不及。”老王在心里默默盘算着，同时开始查阅起相关资料：

1. 2023年攻防演习期间，TDP通过将漏洞情报优势、规则、模型、机器学习、AI等技术相结合，共检出了近百起0day事件；

2. OneSIG可在边界实现检测和防御一体化，2023年攻防演习期间，累计拦截0day漏洞攻击1.6万多次；

3. 在0day检出率方面，TDP和OneSIG均达到了81%以上；

4. 两者误报率均小于0.003%，可确保0day告警不会被淹没。

此外，TDP还可通过被动监听流量识别发现资产，并自动进行风险提示，帮助用户更加精确掌握到底有哪些资产受到0day漏洞的影响。

一个真实的案例

整个过程是这样的：

8月12日，某用户现场一台主机踩中蜜罐触发告警，该主机存在免密登录；

排查SSH登录日志显示，访问源头为一台ActiveMQ服务器，疑似存在未经授权的访问行为；

尽管ActiveMQ服务需对公网开放，但因设置的严格的身份校验机制，难以通过口令暴破或者身份仿冒等方式突破，很可能存在漏洞利用；

后经全面排查，现场TDP早在数小时之前，便产生ActiveMQ远程代码执行漏洞攻击告警。相较之下，用户现场部署的其他同类型设备均未检出。

有了微步漏洞情报和TDP+OneSIG的加持，老王今年硬气了不少。于是，他给自己立了一个flag，是时候展现真正的技术了。