企业的核心数据资产在服务器上,只有做好主机层的安全防御,才能确保企业核心资产安全,保障业务的正常运行。而主机层安全防御的第一步是做好资产的管理,及时检测发现资产异常行为,才能规避资产可能带来的风险。
随着企业的网络和业务不断完善,网络基础设备、服务器等IT资产不断增多,内外部环境越来越复杂,各类数据信息的获取通常处于被动状态,无法自动化智能化的统计出网内主机资产数量,存在哪些漏洞,是否有隐藏后门等。企业的安全管理员也常常搞不清楚企业内网的具体状况,如:内部网络总共有哪些主机资产?哪些服务器是重点服务器?网络中都有哪些异常行为?安全策略是否都已生效?等等。
采用更底层的信息采集方式,主动全面获取网内各类主机服务器信息,构建全网基础资产信息库。通过资产基础信息库的构建,利用资产基础信息的自动识别和人工确认办法,例如操作系统版本、端口、进程、ip地址、组织等,建立资产档案和网络底图,展现资产全局态势。
从采集到的资产信息库中,分析具体风险源,是现阶段应对外部威胁最为基础的安全运营能力。这样才能判定:
主机是否存在风险;
CPU使用率是否异常行为;
是否存在异常进程
是否存在弱口令;
是否定期更换密码;
是否遭受rootkit、bootkit等隐藏后门;
是否有敏感进程、远程注入等异常行为;
图1 资产管理
安芯网盾智能内存保护系统在系统层装Agent,Agent在主机底层信息上具有较全面探针能力。安芯网盾智能内存保护系统可将探针数据上报至服务端,由服务端提供标准API接口作为第三方数据源,用户可依据业务需要在自己业务端进行相关数据分析及展示。同时,也可以将企业的软件资产信息、硬件信息、基本信息等在管理中心展示出来,供安全运维人员管理。
那么,为什么资产管理如此重要呢?
在实战攻防中,对于攻击者而言,往往企图绕过安全防护设备,了解目标主机资产,以获取漏洞,进而进行渗透攻击,实现傀儡进程、隐藏端口、隐藏进程、挖矿木马植入等行为。那么,攻击者可以使用傀儡进程的外壳来执行自身的恶意代码、结合挖矿木马的特性实现内存马攻击、实现DLL注入、rootkit隐藏攻击等威胁,对于主机来讲是莫大的威胁。
安芯网盾智能内存保护系统的日志管理功能:
可以监控服务器的操作日志,数据包括账号、操作用户、时间等;
记录行为日志,包括模块加载、账号提权、禁用网络工具等;
记录账号变更,监控账号及用户组的变化,包括增加、删除、修改等;
记录主机行为,便于分析管控。
图2 日志管理
在风险发现模块对内存风险、系统风险、文件风险等进行监控,对内存运行数据、主机行为进行实时监控,并与安全控制中心通信,提供控制中心管理所需的相关安全告警信息。如有异常,第一时间发现安全威胁,并及时防御。
图3 风险发现
此外,Agent能够对文件威胁、漏洞利用、程序行为、事件行为、内存运行数据进行安全检测。同时不会对运行业务产生任何影响,可对内存行为数据进行实时上下文分析,还原攻击者行为,捕获所发生事件和进程,能够对未知威胁进行分析响应。
回归攻防对抗,追本溯源做好主机的安全防护,可以从根本上做好最后一道安全防线,切实做好数据资产安全防护。