BCS2022 | 攻防实战下的深度威胁监测
2022-6-2 16:15:23 Author: www.aqniu.com(查看原文) 阅读量:9 收藏

BCS2022 | 攻防实战下的深度威胁监测

日期:2022年06月02日 阅:90

5月20日-23日,2022北京网络安全大会(BCS2022)冬奥网络安全“零事故”宣传周暨网络安全优秀产品推介会顺利举行,安芯网盾作为展播企业,在首日峰会上进行了以“攻防实战下的深度威胁监测”为主题的精彩分享。 

对抗的本质是攻防双方的较量,一年一度的攻防演练则是攻防较量中的“重头戏”。今年,攻击方的攻击手段和防守方的防守方案都进行全面升级迭代。本次分享,分别以攻防双方视角,详细介绍高级威胁监测,以及如何有效防御高级威胁,高效备战。

近几年红队攻击手法更加多元化,信息收集粒度更细、范围更广,攻击方式越发隐蔽,大量采用先进的攻击手段,逃避安全检测。攻击手段整体呈现绕过性好、成功率高、隐蔽性强、溯源难度大等特点。

攻击方攻击手段不断升级,防守方也更加重视自身网络安全建设,构建主动防御体系,形成攻击溯源和反制能力;优化资产盘点管理,降低数据泄露风险;提升安全运维人员的攻防对抗能力和网络安全事件应急处置水平。

那么,面对隐蔽性高、破坏性强的攻击手段,防守方需要做哪些准备呢?

一、 红队武器top之无文件攻击: 

攻击者通常利用钓鱼邮件或是某些软件漏洞发起攻击,并调用Powershell、WMI、PsExec等系统自有工具远程下载执行恶意命令,具有隐蔽性强、攻击成功率高、破坏力大、溯源困难等特点。基于特征签名、网络流量、系统日志的传统检测手段很难有效应对无文件攻击,很多勒索病毒、挖矿木马甚至恶意后门程序大多数是通过无文件攻击实现。 

安芯网盾提供的无文件攻击防护方案: 

内存保护系统摆脱了对特征签名、网络流量、系统日志等采用静态特征检测方式的依赖,采用行为分析技术,深入Powershell、WMI等脚本解释器内部监控进程行为,能有效检测和发现无文件攻击行为,并能对攻击进行阻断。

二、红队武器top之内存破坏攻击: 

内存破坏型漏洞产生于非预期的内存越界访问,攻击者利用0day漏洞或未修复漏洞进行内存篡改以避开传统安全解决方案,并在受害主机或终端上执行恶意代码。 

高级的攻防对抗中,常见的隐蔽性高的攻击手段:

安芯网盾提供的内存破坏攻击防护方案: 

面对以上这些隐蔽性高、破坏性强的内存破坏攻击,安芯网盾从以下四个方面出发: 

1、监控内存中,是否写入恶意的shellcode; 

2、内存区块是否被变更了读写执行权限; 

3、相关操作系统的重要API是否遭受异常遍历; 

4、敏感的、高危的操作系统API是否被调用; 

通过一系列离散的监测点形成完整的监测链,通过行为判断,监控其在内存上的异常行为,进而精准捕获攻击者在内存破坏上的动作。

三、红队武器top之内存马攻击: 

以Java tomcat为例,在tomcat环境中,业务流转的整个过程都会经过listener、fileter、serverlet三个组件,在网络攻击过程中,攻击者可以利用这三个组件对业务系统实施内存马攻击。

安芯网盾提供的内存马防护方案: 

针对内存马攻击防护,安芯网盾采用rasp技术,rasp是在2014年被提出的一项技术,其理念是将安全防护代码注入到应用程序中,和正常业务代码融为一体,以一种“免疫”的方式来抵御外部的高级攻击。 

安芯网盾内存马防护具有以下几个特点: 

1、轻侵入模式无需重启:和传统RASP技术相比,采用轻侵入模式,业务无需重启,能够监测已加载的内存马。 

2、行为分析引擎:采用行为分析引擎,对jvm内运转的相关程序执行动作均会进行标记,能够有效应对未知威胁。 

3、不占用业务进程空间:传统RASP技术占用业务应用的jvm内存,存在影响业务系统运行的风险,安芯只在jvm中对程序执行动作进行标记,分析进程是在jvm之外的单独进程中分析,不占用正常业务进程的jvm空间。

作为有丰富的攻防实战经验的安全厂商,安芯网盾在攻防演练中,将为客户提供“产品+服务”的创新安全方案,另外,通过总结各类客户的服务经验,已形成了一套精准、高效的攻防演练防护模式。在攻防演练中,通过专家团队与规范化服务流程保证服务的全面性、专业性、高效性。

国内首家基于硬件虚拟化等前沿技术保护企业主机安全的技术服务提供商,致力于研发面向未来的安全解决方案。


文章来源: https://www.aqniu.com/vendor/84263.html
如有侵权请联系:admin#unsafe.sh