瞄准靶心,内存保护构筑主机安全最后一道安全防线

  • A+
所属分类:云安全

简述:随着云计算、大数据、AI、IOT等技术的不断兴起,新型的攻击手段也在不断演变。传统安全边界被打破,主机安全防护成为重点。近年来,针对服务器的网络攻击事件层出不穷,无文件攻击、内存攻击、0day漏洞等是主要的攻击手段。攻击者使用这些漏洞侵害目标系统和终端,或者通过网页挂马和恶意广告,或者通过受感染的电子邮件附件诱导受害者下载而致使恶意代码驻留在内存而难以查杀,如何解决上述问题成为我们共同关注的重点。

 标签

内存攻击、无文件攻击、高级威胁、主机安全、云安全

 用户痛点

操作系统的“权限”是一个重要而敏感的话题,为了增加自身安全性,对外开放的权限也呈现封闭趋势,通过传统API、Hook检测方式将受到极大制约,传统防护手段就会出现检出率低、高误报的严重问题。

近年来出现很多的高级攻击深入硬件底层,诸如Spectre和Meltdown漏洞等,大部分安全工具在面对新型威胁和内部威胁时缺点暴露无遗。由于恶意程序不再有心跳信息导致安全产品发现能力弱。只在应用层或系统层进行防护的产品是很难在第一时间发现并阻断这些威胁,因此难以从根本上进行防范。

如何解决系统脆弱性问题?如何保护业务连续性与内存数据安全?如何应对当前形势下的新威胁?

通常,用户会选择多种防护工具来构筑安全防线,期望做好安全防御工作,然而仍存在一些安全隐患问题:

1、当企业的业务服务器暴露在互联网上时,黑客可以利用多种多样的语言环境(例如JAVA、PHP等)服务器漏洞、Web应用漏洞及其它业务、框架中存在的漏洞,轻易的突破网络和系统层面的防护,最终将恶意代码注入到内存中。因此需要对系统、内存实现进一步安全加固。

2、企业往往会在边界构建安全防护体系,然而内部仍然存在被攻击的情况。同时由于基于已知攻击进行策略制定的传统安全产品无法进行补丁的即时更新,以及存在0day、Nday系统漏洞利用攻击的情况,需要对内网主机进行即时风险可视化分析、溯源、处理,防止被入侵。

3、大型企业的广大下级单位或组织的内部网络安全防护建设基础比较薄弱进而导致了主机层面存在很大安全隐患。

4、当企业内网存在大量的域控服务器时,往往通过域控服务器管理主机终端。由于管理权限及管理数量庞大,毫无疑问域控服务器将成为攻击者的核心目标。在域控的防护中,必须解决攻击者常用的Netlogon提权、PTH域渗透、lsass进程转存、黄金票据、白银票据等攻击方式,防止攻击者从域控服务器下手进而控制域控下的所有主机。

 解决方案

冯·诺依曼提出的存储程序计算机,计算机体系结构决定了任何数据都需要经过CPU进行运算,其数据都需要经过内存进行存储。理论上基于CPU指令集、内存这一层面实现的安全方案可以有效防御所有威胁。

采用了软硬件协同的一体化方案,基于硬件虚拟化技术、内存行为分析、主动防御等前沿技术实现在应用程序级别保护内存,提供高等级的安全保护,能够在应用层、系统层、硬件层提供有机结合的立体防护。

安全从内存保护开始,通过内存保护机制实现对系统进一步加固,各种安全产品就像一道道守护墙,每一道墙都是一套解决方案,如图所示,内存保护系统也可以称之为内存防火墙,守护主机安全的最后一公里。可以有效检测系统漏洞被利用过程,并防止其执行,从而解决系统本身脆弱性问题,确保业务运行时安全。

瞄准靶心,内存保护构筑主机安全最后一道安全防线

内存保护系统基于P2DR模型构建了动态的安全防御体系,可以确保第一时间发现正在进行的异常攻击行为进而对其进行溯源分析以进行封禁、查杀等响应帮助企事业单位将系统调整到“最安全”和“风险最低”的状态。

瞄准靶心,内存保护构筑主机安全最后一道安全防线

 产品功能亮点

1、漏洞检测与防御

通过细粒度的监控内存读、写、执行行为,可实时检测内存中存在堆栈代码执行、内存数据覆盖等异常行为,结合拦截模块高效防御漏洞攻击。

2、内存数据保护

系统运行时或切换用户时,内存中具有缓存数据,内存保护系统可以对特定进程进行防护,防止第三方工具读取缓存数据。

同时,通过硬件虚拟化技术对内存中关键业务执行流数据进行打点,并通过对业务的关联分析,监控应用对业务相关内存数据的多读、挂钩、篡改等行为,保护业务核心数据资产不被窃取。

3、应用运行时保护

内存保护技术通过映射程序的合法执行路径,实时检测并阻止攻击。确保核心业务应用程序只按照预期的方式运行,不会因病毒窃取、漏洞触发而遭受攻击,切实有效保护业务连续性。

4、未知威胁防御

通过对内存行为分析与行为分析,引擎能够有效防护无文件攻击、ROP攻击、基于内存的攻击等。传统安全只能防御已知攻击,未知威胁防御能力明显滞后。

内存保护系统可以帮助企业防护未知威胁、高级威胁、保护业务连续性,解决白名单安全无法阻止的威胁,实现立体、准确防护,从靶心处构筑最后一道防线,切实守护主机安全。

 用户反馈

1、某政府单位

基于内存保护的主机安全防护技术是内网集权类系统的一种有效防护手段。

2、某软件集团

主机内存保护产品,在解决域控主机的漏洞利用、提权等问题上效果显著,保证了客户上万台终端稳定安全运行。



原文来源:安全牛
瞄准靶心,内存保护构筑主机安全最后一道安全防线

本文始发于微信公众号(关键基础设施安全应急响应中心):瞄准靶心,内存保护构筑主机安全最后一道安全防线

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: