ISC 2022 | 聚焦基于内存保护的威胁检测技术
2022-5-27 11:39:52 Author: www.aqniu.com(查看原文) 阅读量:10 收藏

ISC 2022 | 聚焦基于内存保护的威胁检测技术

日期:2022年05月27日 阅:31

5月23日,第十届互联网安全大会(ISC 2022)联合新一代元宇宙聚会平台“N世界”,正式开启数字安全万人元宇宙大会序幕! 

安芯网盾受邀亮相“高级威胁检测与响应技术论坛”,和业界同仁共话内存安全、攻击溯源之道。

安芯网盾成立于2019年,自成立以来,一直致力于提供内存安全领域的相关产品、服务和解决方案,是国内内存安全领域的企业,已为国内外多家知名企事业单位持续提供服务。 

安芯网盾售前总监李正在ISC 2022“高级威胁检测与响应技术论坛”上围绕行业普遍关注的高级威胁和攻防对抗的话题,进行了以“去伪识真-基于内存保护的威胁检测技术”为主题的精彩演讲,便于大家从更深层次来看待网络安全问题。

当前,为什么说我们正面临严峻的网络安全威胁? 

首先,针对网络发起的攻击已经成为不法分子最具性价比的攻击方式。从2020年以来,数据逐渐成为了生产要素,信息技术从原先的生产工具已经演变为先进生产力的代表之一。 

另外,在当前的网络攻防中,防护成本和攻击成本不成正比。我们花在日常安全防护上的人力、精力和财力要远高于攻击方自动化的攻击方式,防守方的一个安全死角,往往会使重金打造的安全防线瞬间失效。

面对网络攻击时,最常用的应对方式有哪些? 

方式一:基于流量进行分析。通过网络流量报文的解析判断攻击动作,从而对攻击进行拦截。但随着网络技术的发展以及攻击手段的升级,基于流量的检测越来越难。 

方式二:基于日志的检测。主机、终端、网络安全设备都基本已经具备了详细的日志记录和外发能力,日志在事后的排查中能够起到关键性的作用。但是日志也存在着被篡改或者意外丢失的可能,以及检测滞后性的特点。 

方式三:基于特征的检测。当前,流量的特征、漏洞的特征以及文件的特征已经能够在短时间内通达各企业,甚至直接下发到安全设备。但是攻击者不断的变换攻击特征,使得一些攻击悄无声息进行。

网络攻击的本质和内存安全之间的关系?  

网络攻击的本质,无外乎是一种程序的运行。当前绝大多数计算机都是基于冯·诺依曼结构,在这种结构中,CPU和内存是程序执行的两个必经部件。 

关于内存安全,在冯·诺依曼计算机体系结构中,所有运行的程序都必须储存在内存中,程序要处理的数据也必须在内存中存储,程序和数据也必须经过CPU来执行和处理,因此守住内存和CPU,就可以守住、感知到所有威胁的发生。 

因此,在“内存”这个必经之路上进行严密设防,是能够从攻击的技术本质上进行有效识别和拦截的。

网络攻击在内存中运行时的3大特性有哪些? 

第一个特性是攻击的收敛性。有两个维度,一个是数量上的收敛,一个是行为上的收敛。 

第二个特性是规范性。在当前主流的计算机架构中,程序的内存空间主要有3个:代码段、数据段和堆栈段。内存空间中的每个存储段都有严格的执行规范,即便是恶意代码或者攻击指令,也需要遵从相关的约束才能够完成一系列的攻击动作。 

第三个特性是可读性。在实际业务环境中,尽管数据都经过严格加密,但在内存中存储的执行指令是可读的,因此攻击方的行为指令,在内存中是能够被解读的。

安芯网盾提供的防护思路和解决方案: 

基于攻击在内存中的收敛性、规范性和可读性,我们是能够利用行为分析的思路去实现相关监测的。安芯网盾的核心团队在过去10年的时间里,通过对海量的病毒样本进行分析,开创性地研发了内存保护技术,推出了在内存安全细分领域的主打产品-内存保护系统。 

内存保护将安全防护能力从应用层、系统层拓展到硬件虚拟化层,可以有效应对系统设计缺陷、外部入侵等威胁,帮助企业防御并终止在业务关键应用程序中的无文件攻击、0day漏洞攻击等高级威胁,切实有效保障用户的核心业务不被阻断、核心数据不被窃取。 

内存保护技术能够在攻击运行时起到有效的防护,能够利用1%的资源让攻击方停留在99%的进度上。

此次,安芯网盾受邀参加ISC 2022线上峰会活动,不仅是对安芯网盾在内存安全领域专业能力的高度认可,也是对我们在技术创新、服务创新等方面的鞭策和鼓励。 

未来,安芯网盾将不断发挥自身技术优势,深耕内存安全领域,持续为用户提供基于内存保护的主机+终端的一体化端点安全解决方案,为用户提供实时的高级威胁防护能力,为国家数字化经济发展和网络强国建设积极贡献力量。

国内首家基于硬件虚拟化等前沿技术保护企业主机安全的技术服务提供商,致力于研发面向未来的安全解决方案。


文章来源: https://www.aqniu.com/industry/83952.html
如有侵权请联系:admin#unsafe.sh