8月27日,2021北京网络安全大会发布系列活动如期举行。在此环节安全牛发布了《企业高级威胁防护应用指南》研究报告,由于具有更底层内核的产品能力,安芯网盾的高级威胁解决方案也被收录在此报告中。
图 朱燕涛演讲
针对特有方案,安芯网盾的产品总监朱燕涛在发布环节分享了《以内存为靶心的高级威胁解决方案》,通过现场分享为大家展示了如何基于内存保护技术解决高级威胁问题,希望通过该解决方案帮助企事业单位解决高级威胁带来的安全困扰。
安全防御体系的缺失
朱燕涛表示,提及高级威胁我们会把内存攻击(包含我们常提到的ROP、堆栈属性攻击、缓冲区溢出、内存代码片段、傀儡进程等攻击)、无文件攻击、0day漏洞利用等新型攻击定义为高级威胁,此类威胁具有难发现、难检测、难处理的特点,而且可以轻松绕过现有的安全检测机制,给现有的安全防护体系带来较大的安全挑战。
据国家信息安全漏洞共享平台(CNVD)统计,2020年共收录安全漏洞20704个,继续呈上升趋势,同比增长27.9%。其中,高危漏洞数量为7420 个(占35.8%),同比增长52.1%;0day漏洞数量为8902 个(占43.0%),同比增长56.0%。由此可见,高危漏洞、0day漏洞发生的频次呈现递增趋势,对安全敲响了更高的安全警钟。
近年来,基于内存的攻击手段,包括无文件攻击、内存webshell、缓冲区溢出等不断增多,使得漏洞利用成为一个亟需解决的安全问题。
1、当前,整体漏洞利用攻击呈现明显上升趋势而依靠传统扫漏洞、打补丁方式无法有效应对海啸一般漏洞利用攻击,而且,漏洞是固然存在的,修复不完的。
2、0day漏洞,或受环境制约也存在无法打补丁情况,给安全防护带来极大挑战。
3、需要建立一种即使没有打补丁情况下,也能够对漏洞利用攻击进行防御的机制。
内存保护能力显现
安芯网盾的智能内存保护系统,基于硬件虚拟化技术、行为分析技术、关联分析技术等解决高级威胁检测问题。相对其它解决方案,内存保护技术有如下几个独特价值:
1、检测&防御能力:硬件虚拟化技术具备内存行为全面监控,解决内存防护空白问题,同时可以全面监控操作系统行为,行为分析技术,通过对PB级样本分析,内存保护系统基于已知行为推出未知行为的思路,监控恶意程序行为点,从而实现无论病毒怎样变种依旧能够有效检测的机制。利用关联分析技术,可以更为准确检测攻击威胁,减少误报。
而且,内存保护提供三大防御能力:漏洞防御、数据保护及威胁防御。
- 通过监控内存恶意读、写、执行行为监控内存中的堆喷、堆栈溢出、内存数据覆盖等行为,结合拦截模块可以对漏洞进行有效防御。
- 通过监控内存中“多读”“挂钩”“篡改”等行为可以有效保护内存数据。
- 同样内存保护系统基于CPU、内存指令集可以有效监控内存数据执行流状态,从而可以实现未知威胁防御能力。
2、溯源能力与网络层面溯源不同,内存保护系统在内存访问行为及系统层面溯源具有天然优势,溯源信息更加细粒度化:
- 可实现全面可视化能力:采集内存、系统、应用三个层面信息。
- 可以确保采集到信息足够多、足够细从而形成强大溯源分析能力:利用硬件虚拟化可以全面采集系统信息,而不依赖于系统限制。
以内存为靶心的高级威胁防护方案
安芯以内存为靶心的高级威胁防护方案,以底层技术能力解决上层安全问题的思路,实现高阶对低阶“降维打击”,内存保护基于底层技术可以有效突破操作系统的各种限制,实现细粒度的监控程序的运行行为,内存保护不仅可以有效检测内存行为、同时可以有效检测系统行为与应用行为具备更为全面检出效果。利用CPU本身安全隔离机制,可以确保内存保护系统运行环境更安全。
针对高级威胁制定了防御4步走方案:
第一步:重新定义高级威胁,高级威胁范围依旧很广泛,我们对高级威胁范围进行重新定义,主要目的确保方案可落地性。
第二步:利用多项新技术实现对高级威胁检测,加强对高级威胁检出效果。
第三步:针对高级威胁实现可视化,需要对其更详细信息,包括调用行为、执行参数、内存执行动作等。
第四步:高级威胁处置与应对,需要加强针对高级威胁应对。
采用内存保护技术可以实现真正程序运行时保护能力,弥补内存防护空白,在没有打补丁情况下依旧能够对漏洞利用攻击进行有效检测与防护,解决高级威胁带来的安全隐患问题。
