国产精一区二区_午夜视频99_免费白白视频_中文字幕一区免费

內(nèi)存保護(hù)技術(shù)到底有多能打?

安芯網(wǎng)盾
+ 關(guān)注
2021-11-18 17:03
1065次閱讀
高級(jí)威脅這個(gè)概念由來已久,但是大家對(duì)其的理解不甚相同;而且,某些行業(yè)調(diào)研機(jī)構(gòu)針對(duì)此概念也進(jìn)行了調(diào)研、闡釋,給出了一定的行業(yè)認(rèn)知,幫助大家更好的理解了高級(jí)威脅。近期,針對(duì)新型高級(jí)威脅,我們也從不同的攻擊視角,一一為大家簡(jiǎn)析了從攻、防視角如何解決此類威脅問題。
細(xì)心的讀者不難發(fā)現(xiàn),文中多次提及“內(nèi)存保護(hù)”,且都以該視角對(duì)高級(jí)威脅進(jìn)行檢測(cè)、防御,以底層的硬件虛擬化技術(shù)角度為大家剖析了如何解決此類安全威脅。那么,高級(jí)威脅到底有何魅力,讓小編多次提及?基于此,小編本文為大家介紹內(nèi)存保護(hù)的獨(dú)特魅力到底在何處?解決高級(jí)威脅的內(nèi)存保護(hù)技術(shù)到底有多能打?

 

“核心工作負(fù)載保護(hù)策略”的關(guān)鍵技術(shù)
Gartner作為全球最具權(quán)威的IT研究與顧問咨詢公司,其出品的行業(yè)報(bào)告一直被眾人做為新風(fēng)向的引擎,為決策、判斷提供了諸多的參考依據(jù)。
Gartner發(fā)布的《云工作負(fù)載安全防護(hù)平臺(tái)市場(chǎng)指南(Market Guide for Cloud Workload Protection Platforms)》中將內(nèi)存保護(hù)列為核心工作負(fù)載保護(hù)策略的關(guān)鍵技術(shù),報(bào)告中指出,在基于風(fēng)險(xiǎn)的工作負(fù)載保護(hù)控制層次中,利用預(yù)防/內(nèi)存保護(hù)是核心工作負(fù)載保護(hù)策略:
這是一種強(qiáng)制性的功能,以防止可信應(yīng)用程序中的漏洞受到攻擊,以及操作系統(tǒng)處于企業(yè)控制之下(對(duì)于無服務(wù)器的情況,要求云提供商的底層操作系統(tǒng)受到保護(hù))。注入的代碼可以隱蔽地從內(nèi)存中運(yùn)行,而不是作為一個(gè)單獨(dú)執(zhí)行和可控的進(jìn)程(被稱為“無文件惡意軟件”,例如很多情況下以可信進(jìn)程下的線程形式存在)。此外,利用預(yù)防和內(nèi)存保護(hù)解決方案可以提供廣泛的攻擊保護(hù),而不需要傳統(tǒng)的基于簽名等文件特征的反病毒解決方案。當(dāng)補(bǔ)丁不可用時(shí),它們也可以用作緩解控制。一些CWPP提到的產(chǎn)品使用的另一種強(qiáng)大的內(nèi)存保護(hù)方法稱為“移動(dòng)目標(biāo)防御”——隨機(jī)化操作系統(tǒng)內(nèi)核、庫和應(yīng)用程序,使每個(gè)系統(tǒng)的內(nèi)存布局不同,以防止基于內(nèi)存的攻擊。
因?yàn)樵诠ぷ髫?fù)載中運(yùn)行的數(shù)據(jù)都需要經(jīng)過內(nèi)存進(jìn)行存儲(chǔ),所以通過對(duì)內(nèi)存行為的監(jiān)控可以識(shí)別無文件攻擊、內(nèi)存webshell等基于文件監(jiān)測(cè)無法識(shí)別的新型攻擊手段,這也是為何屢次被提及的原因。

 

“漏洞利用”的有利武器
在攻防對(duì)抗的江湖,風(fēng)起云涌,從未停歇!只有不斷的豐富、創(chuàng)新自己的技術(shù)才能讓自己不會(huì)被打敗,占立先機(jī)、達(dá)到目的。
在MITRE曾經(jīng)發(fā)布的一份25個(gè)最危險(xiǎn)的軟件錯(cuò)誤列表中,內(nèi)存緩沖區(qū)溢出是組織面臨的最大威脅。該報(bào)告基于通用弱點(diǎn)枚舉(CWE)目錄,該目錄編譯并分類了開發(fā)人員和安全專業(yè)人員應(yīng)該監(jiān)控的軟件缺陷、錯(cuò)誤和潛在攻擊。其獨(dú)特之處在于MITRE對(duì)這些風(fēng)險(xiǎn)進(jìn)行了排名和加權(quán),使用了基于NIST國家漏洞數(shù)據(jù)庫(NVD)和通用漏洞評(píng)分系統(tǒng)(CVSS)的評(píng)分算法,分析了超過25000個(gè)CVE。報(bào)告指出,最危險(xiǎn)、最容易被利用的威脅是內(nèi)存緩沖區(qū)錯(cuò)誤,其次是跨站腳本(XSS)。
除了緩沖區(qū)溢出,包括0day漏洞、無文件攻擊、內(nèi)存攻擊等新型高級(jí)威脅也都是比較復(fù)雜、多變、難以檢測(cè)防御的攻擊類型。看過前面文章的讀者會(huì)清楚,像EDR、WAF、HIPS等代表性的安全防護(hù)工具針對(duì)惡意代碼的檢測(cè)一般局限于文件靜態(tài)檢測(cè)、啟發(fā)式檢測(cè)、等技術(shù),這些技術(shù)雖然對(duì)傳統(tǒng)威脅攻擊具有不錯(cuò)的檢測(cè)、防御效果,但對(duì)0day漏洞、無文件攻擊這類新型威脅攻擊的檢測(cè)、防御效果并不理想,而此類攻擊手段正是最近幾年井噴式爆發(fā)的威脅攻擊手段。
而內(nèi)存保護(hù)技術(shù)基于硬件虛擬化的內(nèi)存虛擬化技術(shù)、指令集監(jiān)控、進(jìn)程行為檢測(cè),從更底層的內(nèi)存層構(gòu)筑了安全防線,切實(shí)守護(hù)了服務(wù)器的數(shù)據(jù)資產(chǎn)安全,保障了業(yè)務(wù)的正常運(yùn)行。內(nèi)存保護(hù),無疑是解決新型漏洞利用的終極武器。
“技術(shù)對(duì)比”彰顯對(duì)打?qū)嵙?/strong>
為了應(yīng)對(duì)威脅攻擊,不得不研發(fā)設(shè)計(jì)部署N類安全產(chǎn)品,以期望從網(wǎng)絡(luò)層、終端、主機(jī)等不同的層次分別構(gòu)筑安全防線,在守護(hù)服務(wù)器的安全之時(shí),不得不提到WAF、EDR、HIPS的安全防護(hù)工具。
1、Web應(yīng)用程序防火墻 (WAF) 部署在Web應(yīng)用程序之前,通過檢查GET和POST請(qǐng)求,分析雙向Web (HTTP) 流量,實(shí)現(xiàn)檢測(cè)識(shí)別和阻止惡意攻擊的作用。WAF是一種反向代理,通過在Web應(yīng)用程序前部署Web應(yīng)用程序防火墻,實(shí)現(xiàn)基于簽名的惡意軟件保護(hù),在Web應(yīng)用程序和Internet之間建立了防御;應(yīng)用程序防火墻通過靜態(tài)規(guī)則,過濾面向目標(biāo)應(yīng)用服務(wù)的惡意流量,使應(yīng)用程序免受漏洞影響。
缺點(diǎn):其基于流量分析,存在一定誤殺和一定繞過幾率!
而使用內(nèi)存保護(hù)技術(shù),基于CPU指令集的監(jiān)控,進(jìn)行細(xì)粒度跟蹤、監(jiān)控系統(tǒng)的各類行為動(dòng)作,這有利于在保證低誤報(bào)率的情況下,實(shí)時(shí)地在本地分析識(shí)別更多的威脅,當(dāng)威脅出現(xiàn)時(shí)能第一時(shí)間告警響應(yīng)。
2、EDR依賴于日志和流量,可以檢測(cè)已知威脅。因此,EDR可以識(shí)別已知落地到本地的webshell或其他惡意軟件。EDR解決方案在集中式數(shù)據(jù)庫中聚合端點(diǎn)事件數(shù)據(jù)。然后對(duì)這些數(shù)據(jù)進(jìn)行分析和關(guān)聯(lián),以發(fā)現(xiàn)可疑事件。可疑活動(dòng)是通過與已知威脅簽名的匹配和行為與既定行為基線的比較相結(jié)合來檢測(cè)的。
缺點(diǎn):無法防御未知威脅,在防護(hù)上存在滯后性。     
而使用內(nèi)存保護(hù)技術(shù)對(duì)內(nèi)存中關(guān)鍵業(yè)務(wù)進(jìn)行打點(diǎn),并通過對(duì)業(yè)務(wù)的關(guān)聯(lián)分析,監(jiān)控應(yīng)用對(duì)業(yè)務(wù)相關(guān)內(nèi)存數(shù)據(jù)的多讀、掛鉤、篡改等行為,確保用戶核心業(yè)務(wù)應(yīng)用程序只按照預(yù)期方式運(yùn)行,不會(huì)因?yàn)椴《靖`取、漏洞觸發(fā)而遭受攻擊。而且,可以有效解決安全邊界消失、文件白名單等防護(hù)措施的不足,解決基于內(nèi)存的攻擊行為。
3、HIPS是基于主機(jī)的入侵防御系統(tǒng),在防病毒、反間諜軟件、補(bǔ)丁管理和防火墻配置之上提供了另一層保護(hù),以防止計(jì)算機(jī)上的惡意活動(dòng)。HIPS持續(xù)監(jiān)控指定的進(jìn)程、文件、應(yīng)用程序和注冊(cè)表項(xiàng),以防止未經(jīng)授權(quán)的行為。與漏洞檢測(cè)和修復(fù)、間諜軟件檢測(cè)和刪除或防病毒掃描不同,HIPS保護(hù)不需要持續(xù)的文件更新(補(bǔ)丁文件、定義/模式文件或簽名數(shù)據(jù)庫文件)。主機(jī)入侵防御系統(tǒng) (HIPS) 通過分析主機(jī)內(nèi)發(fā)生的事件來監(jiān)控單個(gè)主機(jī)的可疑活動(dòng)。HIPS 解決方案從網(wǎng)絡(luò)層一直到應(yīng)用層保護(hù)主機(jī)免受已知和未知的惡意攻擊。
缺點(diǎn):具有滯后性,無法防止未知攻擊,且超級(jí)管理員可任意停止和卸載。
而使用內(nèi)存保護(hù)技術(shù)能夠檢測(cè)應(yīng)用執(zhí)行中基于內(nèi)存攻擊的異常行為,并能即時(shí)阻止。同時(shí),基于虛擬化技術(shù)可以在內(nèi)存級(jí)別監(jiān)控應(yīng)用程序進(jìn)程,檢測(cè)應(yīng)用內(nèi)部行為異常,可以阻止未知攻擊、無文件攻擊,而不再關(guān)注系統(tǒng)是否打補(bǔ)丁。

 

“瞄準(zhǔn)靶心”確保數(shù)據(jù)安全
企業(yè)的核心數(shù)據(jù)資產(chǎn)在服務(wù)器上,守護(hù)好服務(wù)器的數(shù)據(jù)安全則顯得至關(guān)重要。而且不管是《數(shù)據(jù)安全法》還是《關(guān)基條例》都對(duì)數(shù)據(jù)安全的重要性做了強(qiáng)調(diào)。與以往的數(shù)據(jù)加密、防篡改不同,內(nèi)存保護(hù)技術(shù)以更核心的底層技術(shù)架構(gòu),在靶心處為服務(wù)器構(gòu)建一道安全防線,防止威脅攻擊的發(fā)生,切實(shí)守護(hù)了數(shù)據(jù)資產(chǎn)安全。
1、內(nèi)存保護(hù)基于硬件虛擬化技術(shù),可以基于應(yīng)用層、系統(tǒng)層、硬件層實(shí)現(xiàn)立體防護(hù),可以在內(nèi)存級(jí)別監(jiān)控應(yīng)用進(jìn)程和指令,識(shí)別更多的應(yīng)用行為,并將其實(shí)現(xiàn)可視化展示,使內(nèi)存數(shù)據(jù)信息更直觀易于管理。
● 在硬件層,基于先進(jìn)的硬件虛擬化技術(shù),利用內(nèi)存虛擬化實(shí)現(xiàn)對(duì)內(nèi)存數(shù)據(jù)監(jiān)控。
● 在系統(tǒng)層,也就是驅(qū)動(dòng)層,通過CPU指令監(jiān)控處理接口、內(nèi)存監(jiān)控處理接口,可對(duì)內(nèi)存中異常行為進(jìn)行檢測(cè),當(dāng)發(fā)現(xiàn)異常行為可對(duì)未知風(fēng)險(xiǎn)進(jìn)行阻斷或上報(bào)數(shù)據(jù)。
● 在應(yīng)用層,對(duì)受保護(hù)應(yīng)用(例如Tomcat、Weblogic、Shrio等容器或者中間件)注入漏洞防護(hù)模塊,確保業(yè)務(wù)應(yīng)用使用實(shí)時(shí)安全,同時(shí)在應(yīng)用層安裝Agent,通過Agent可對(duì)系統(tǒng)及風(fēng)險(xiǎn)進(jìn)行檢測(cè)、攔截并上報(bào)至管理中心。
2、 采用更底層的信息采集方式,主動(dòng)全面獲取網(wǎng)內(nèi)各類主機(jī)服務(wù)器信息,構(gòu)建全網(wǎng)基礎(chǔ)資產(chǎn)信息庫。通過資產(chǎn)基礎(chǔ)信息庫的構(gòu)建,利用資產(chǎn)基礎(chǔ)信息的自動(dòng)識(shí)別和人工確認(rèn)辦法,例如操作系統(tǒng)版本、端口、進(jìn)程、ip地址、組織等,建立資產(chǎn)檔案和網(wǎng)絡(luò)底圖,展現(xiàn)資產(chǎn)全局態(tài)勢(shì)。
3、通過監(jiān)控內(nèi)存惡意讀、寫、執(zhí)行行為,監(jiān)控內(nèi)存中的堆噴射、堆棧溢出、內(nèi)存數(shù)據(jù)覆蓋等行為,結(jié)合攔截模塊可以對(duì)漏洞進(jìn)行有效防御。通過監(jiān)控內(nèi)存中“多讀”“掛鉤”“篡改”等行為可以有效保護(hù)內(nèi)存數(shù)據(jù)。
不管是從“出身”,還是在攻防對(duì)抗亦或是解決數(shù)據(jù)安全問題上,內(nèi)存保護(hù)都有自身的實(shí)力,真的很能打!

[免責(zé)聲明]

原文標(biāo)題: 內(nèi)存保護(hù)技術(shù)到底有多能打?

本文由作者原創(chuàng)發(fā)布于36氪企服點(diǎn)評(píng);未經(jīng)許可,禁止轉(zhuǎn)載。

資深作者安芯網(wǎng)盾
安芯網(wǎng)盾
0
消息通知
咨詢?nèi)腭v
商務(wù)合作