做好高级威胁风险发现,筑牢主机安全防线
星期二, 七月 20, 2021
随着网络威胁的不断增加,特别是无文件攻击、内存马攻击、缓冲区溢出攻击等新型高级威胁的涌现,了解自身状况的重要性变得越来越重要。这样子可以感知云或本地环境是否遭受了网络攻击,对未知风险做好提前检测和防御,确保业务和应用安全,保障数据的正常运行。
攻击者利用漏洞、勒索病毒等对目标发起攻击时,其最终目的往往在于摸清主机资产,从而拿到最核心的数据。进入主机之前,就会通过各种威胁手段发起攻击,从而造成安全风险。做好未知风险的安全检测、防御,可以为主机构筑一道安全防线。
根据风险评估逻辑结构,风险治理可以归结为5各阶段:风险规划,风险识别,风险分析,风险处理,风险监控。在风险引入阶段,我们安全人员如何能快速识别风险,做好风险分析非常重要。而通过对工具的使用,做好资产的管理、发现未知威胁、漏洞检测与防御可以快速识别风险,为做好风险分析和治理做出重要的参考依据。
安芯网盾智能内存保护系统可以帮助企业下沉到硬件层,基于内存分析技术、硬件虚拟化技术,更细粒度的监测到外界攻击引起的内存风险、系统风险、文件风险等。让安全防患于未然!
1、管理资产
在《追本溯源,实现主机安全》我们讲到,安芯网盾智能内存保护系统在系统层安装Agent,在主机底层具有较全面的探针能力,可以将探针数据上报服务端由服务端提供标准API接口作为第三方数据源,用户可依据业务需要在自己业务端进行相关数据分析及展示。同时,也可以将企业的软件资产信息、硬件信息、基本信息等在管理中心展示出来,供安全运维人员管理。帮助企业更好的了解CPU使用率、是否有异常进程等威胁行为。
2、风险发现
据CNVD研究抽样监测发现,利用安全漏洞针对境内主机进行扫描探测、代码执行等的远程攻击行为日均超过2176.4万次。攻击者所利用的漏洞类型主要覆盖网站侧、主机侧、移动终端侧,其中攻击网站所利用的典型漏洞为 Apache Struts2 远程代码执行、Weblogic反序列化等漏洞;攻击主机所利用的典型漏洞为“永恒之蓝”、OpenSSL“心脏滴血”等漏洞。可见,攻击者仍利用此类漏洞对主机发起攻击,以达到目的。
安芯网盾的智能内存保护系统使用内存保护技术,基于CPU指令集的监控,可以细粒度监控内存上的所有行为。当出现行为异常、进程异常等行为时,实时预警、防御,规避安全风险的发生。目前,智能内存保护系统可以很好的监控内存风险、系统风险、文件风险等异常状况,可以很好的解决基于内存的内存WebShell攻击、PowerShell攻击、傀儡进程、“永恒之蓝”攻击等安全威胁。
具体如下:
①持续发现
基于主机探针持续发现能力,对主机IP、CPU使用率、系统、进程、应用等信息进行搜集与分析,监测发现异常状况,帮助企业第一时间掌握异常动态,并做出相应应对。
②内存监控
基于内存保护技术,可以实时监控无文件攻击、内存webshell、执行Shellcode等攻击行为,从内核处对异常进程防御;
③行为分析
实时监控记录攻击特征、攻击路径、攻击变量等行为数据,提供对可能影响敏感业务信息资产、数据和流程的潜在风险的早期可见性。
④可视化数据
对风险、风险趋势进行可视化展示,可便捷化对整个风险有总体概览,对主机的安全做到感知。
3、漏洞防御
据国家信息安全漏洞共享平台(CNVD)统计,2020年共收录安全漏洞20704个,继续呈上升趋势,同比增长27.9%,2016 年以来年均增长率为17.6%。0day漏洞数量为8902 个(占43.0%),同比增长56.0%。诸如0day漏洞此类高级威胁的不断增长,做好漏洞防御则显得至关重要。
对于0day漏洞而言,由于0day漏洞在调用内存数据的时候,易使用内存篡改技术发起攻击,而绕过传统终端防护机制。安芯网盾智能内存保护系统能够结合操作行为进行上下文关联分析,监控应用对业务相关内存数据的多读、挂钩、篡改等行为,确保用户核心业务应用程序只按照预期方式运行,保持在合法的执行/控制流上。执行过程中的任何异常行为都潜伏着攻击迹象,智能内存保护系统能够在微秒级阻止漏洞利用,而不再关注和依赖系统是否打补丁。
从资产、威胁、漏洞三个维度做好防御、检测,规避高级威胁风险的发生,为主机树立一道安全防线!
国内首家基于硬件虚拟化等前沿技术保护企业主机安全的技术服务提供商,致力于研发面向未来的安全解决方案。