专家报告称,每日有30万~70万新增的受感染文件产生,意味着每周会出现几百万未知威胁事件。2020年微软遇到的危险漏洞-Crypt32.dll,该漏洞将允许恶意黑客欺骗签名,便是典型的未知威胁案例。而计算机体系结构决定了任何数据的计算都离不开内存,未知威胁将对内存产生巨大的安全威胁,进而影响企业核心数据的安全。
未知的“恐惧”
美国国防部长唐纳德·拉姆斯菲尔德(Donald Rumsfeld)以将威胁分为三类“已知的已知,已知的未知,未知的未知”,虽然指的是国家安全问题,但同样适用于网络安全。事实上,它们是一个有价值的框架,可以用来考虑每个企业需要哪些防御层来保护其网络和系统免受威胁——无论是已知的已知的威胁,已知的未知的威胁,甚至是未知的未知的威胁。
一般来讲,未知威胁通常被认为是尚未见过的恶意代码。此类威胁利用了诸如高级持续性威胁或针对性攻击的漏洞,这些漏洞是故意设计用来穿透受害者的防御系统的。它们太新或太稀少,以至于无法通过基于特征的检测(防病毒,通常为IDS)识别。而且,近年以来,包括新型病毒、变种病毒、0day漏洞、无文件恶意软件、内存攻击等未知威胁不断激增,使得防御者难以判定被攻击的时间、目的及方式,这种未知的“恐惧”是比较可怕的。
防护壁垒的缺失
随着云计算、大数据、物联网等新技术的兴起,安全防护产品也日趋完善和多样化。大多数传统的安全系统和产品都是针对已知威胁进行构建,当发现并检测到恶意威胁时,便会进行阻止。攻击者为了绕过安全产品的检测以发起攻击,势必需要创新,未知威胁便应运而生。
任何事情的存在都具有两面性,当安全威胁存在的同时,必定有相应的防护措施存在。针对病毒、木马、漏洞攻击等安全威胁,可以进行打补丁、利用杀毒软件、IDS、HIPS/HIDS等防护工具进行检测防御。然而,这些防护工具都有一定的安全壁垒,具体如下:
IDS:可以对已知攻击行为进行报警,监听特定系统或应用程序的流量。只能识别已知的网络攻击事件,无法识别操作系统内部的攻击,且误报风险高。
补丁:可以避免已知漏洞攻击。具有滞后性,通常先有漏洞再有补丁,因此不能对未知漏洞进行防御,并且依赖于厂家。
HIPS/HIDS:基于主机的入侵防御系统,可以拦截已知主机攻击方式。具有滞后性,无法防止未知攻击,且超级管理员可任意停止和卸载。
杀毒软件:可以查、杀、防已知病毒木马。具有滞后性,只能查杀已知病毒,无法解决未知和变种病毒木马;无法防止黑客入侵:超级管理员可任意停止和卸载。
未知威胁的“杀手”
传统安全防护工具在面对未知威胁时,缺少防护壁垒。不得不需要一个针对性的安全系统以解决该问题,安芯网盾智能内存保护系统可以弥补传统安全工具的缺失,完整性的解决未知威胁带来的风险问题。
基于CPU、内存指令集这一层面实现的安全方案,可以有效防御所有威胁造成的核心数据泄露风险。
利用硬件虚拟化技术,对内存关键行为进行打点控制,当出现异常行为系统会直接进行阻断并报警。
通过风险识别能力,能够帮助可以发现内存数据风险,帮助客户进行安全运营;通过威胁防御及检测,帮助客户对业务进行安全加固,使其满足合规管理要求;通过事件处理能力,帮助客户即使拦截恶意攻击。
具有强大的内存数据探针能力,基于内存的实时数据检测,能够全面监控内存中的运行程序及相关动作,从而能够解决更深层次的安全问题及风险。
内存保护系统相对于传统防护系统/工具最酷的地方在于对于未知威胁可以很好的检测和防御,在主机的应用层、系统层、硬件层形成立体防护。帮助企业减少黑客攻击带来的数据损失、系统被破坏等情况,让企业的CIO/CSO可以安心睡觉。