追本溯源,实现主机安全
星期二, 六月 15, 2021
企业的核心数据资产在服务器上,只有做好主机层的安全防御,才能确保企业核心资产安全,保障业务的正常运行。而主机层安全防御的第一步是做好资产的管理,及时检测发现资产异常行为,才能规避资产可能带来的风险。
随着企业的网络和业务不断完善,网络基础设备、服务器等IT资产不断增多,内外部环境越来越复杂,各类数据信息的获取通常处于被动状态,无法自动化智能化的统计出网内主机资产数量,存在哪些漏洞,是否有隐藏后门等。企业的安全管理员也常常搞不清楚企业内网的具体状况,如:内部网络总共有哪些主机资产?哪些服务器是重点服务器?网络中都有哪些异常行为?安全策略是否都已生效?等等。
采用更底层的信息采集方式,主动全面获取网内各类主机服务器信息,构建全网基础资产信息库。通过资产基础信息库的构建,利用资产基础信息的自动识别和人工确认办法,例如操作系统版本、端口、进程、ip地址、组织等,建立资产档案和网络底图,展现资产全局态势。
从采集到的资产信息库中,分析具体风险源,是现阶段应对外部威胁最为基础的安全运营能力。这样才能判定:
图1 资产管理
安芯网盾智能内存保护系统在系统层装Agent,Agent在主机底层信息上具有较全面探针能力。安芯网盾智能内存保护系统可将探针数据上报至服务端,由服务端提供标准API接口作为第三方数据源,用户可依据业务需要在自己业务端进行相关数据分析及展示。同时,也可以将企业的软件资产信息、硬件信息、基本信息等在管理中心展示出来,供安全运维人员管理。
那么,为什么资产管理如此重要呢?
在实战攻防中,对于攻击者而言,往往企图绕过安全防护设备,了解目标主机资产,以获取漏洞,进而进行渗透攻击,实现傀儡进程、隐藏端口、隐藏进程、挖坑木马植入等行为。那么,攻击者可以使用傀儡进程的外壳来执行自身的恶意代码、结合挖坑木马的特性实现内存马攻击、实现DLL注入、rootkit隐藏攻击等威胁,对于主机来讲是莫大的威胁。
安芯网盾智能内存保护系统的日志管理功能:
图2 日志管理
在风险发现模块对内存风险、系统风险、文件风险等进行监控,对内存运行数据、主机行为进行实时监控,并与安全控制中心通信,提供控制中心管理所需的相关安全告警信息。如有异常,第一时间发现安全威胁,并及时防御。
图3 风险发现
此外,Agent能够对文件威胁、漏洞利用、程序行为、事件行为、内存运行数据进行安全检测。同时不会对运行业务产生任何影响,可对内存行为数据进行实时上下文分析,还原攻击者行为,捕获所发生事件和进程,能够对未知威胁进行分析响应。
回归攻防对抗,追本溯源做好主机的安全防护,可以从根本上做好最后一道安全防线,切实做好数据资产安全防护。
国内首家基于硬件虚拟化等前沿技术保护企业主机安全的技术服务提供商,致力于研发面向未来的安全解决方案。