做好高级威胁风险发现,筑牢主机安全防线
作者:星期二, 七月 20, 20210

随着网络威胁的不断增加,特别是无文件攻击、内存马攻击、缓冲区溢出攻击等新型高级威胁的涌现,了解自身状况的重要性变得越来越重要。这样子可以感知云或本地环境是否遭受了网络攻击,对未知风险做好提前检测和防御,确保业务和应用安全,保障数据的正常运行。

攻击者利用漏洞、勒索病毒等对目标发起攻击时,其最终目的往往在于摸清主机资产,从而拿到最核心的数据。进入主机之前,就会通过各种威胁手段发起攻击,从而造成安全风险。做好未知风险的安全检测、防御,可以为主机构筑一道安全防线。

根据风险评估逻辑结构,风险治理可以归结为5各阶段:风险规划,风险识别,风险分析,风险处理,风险监控。在风险引入阶段,我们安全人员如何能快速识别风险,做好风险分析非常重要。而通过对工具的使用,做好资产的管理、发现未知威胁、漏洞检测与防御可以快速识别风险,为做好风险分析和治理做出重要的参考依据。

安芯网盾智能内存保护系统可以帮助企业下沉到硬件层,基于内存分析技术、硬件虚拟化技术,更细粒度的监测到外界攻击引起的内存风险、系统风险、文件风险等。让安全防患于未然!

1、管理资产

在《追本溯源,实现主机安全》我们讲到,安芯网盾智能内存保护系统在系统层安装Agent,在主机底层具有较全面的探针能力,可以将探针数据上报服务端由服务端提供标准API接口作为第三方数据源,用户可依据业务需要在自己业务端进行相关数据分析及展示。同时,也可以将企业的软件资产信息、硬件信息、基本信息等在管理中心展示出来,供安全运维人员管理。帮助企业更好的了解CPU使用率、是否有异常进程等威胁行为。

2、风险发现

据CNVD研究抽样监测发现,利用安全漏洞针对境内主机进行扫描探测、代码执行等的远程攻击行为日均超过2176.4万次。攻击者所利用的漏洞类型主要覆盖网站侧、主机侧、移动终端侧,其中攻击网站所利用的典型漏洞为 Apache Struts2 远程代码执行、Weblogic反序列化等漏洞;攻击主机所利用的典型漏洞为“永恒之蓝”、OpenSSL“心脏滴血”等漏洞。可见,攻击者仍利用此类漏洞对主机发起攻击,以达到目的。

安芯网盾的智能内存保护系统使用内存保护技术,基于CPU指令集的监控,可以细粒度监控内存上的所有行为。当出现行为异常、进程异常等行为时,实时预警、防御,规避安全风险的发生。目前,智能内存保护系统可以很好的监控内存风险、系统风险、文件风险等异常状况,可以很好的解决基于内存的内存WebShell攻击、PowerShell攻击、傀儡进程、“永恒之蓝”攻击等安全威胁。

具体如下:

①持续发现

基于主机探针持续发现能力,对主机IP、CPU使用率、系统、进程、应用等信息进行搜集与分析,监测发现异常状况,帮助企业第一时间掌握异常动态,并做出相应应对。

②内存监控

基于内存保护技术,可以实时监控无文件攻击、内存webshell、执行Shellcode等攻击行为,从内核处对异常进程防御;

③行为分析

实时监控记录攻击特征、攻击路径、攻击变量等行为数据,提供对可能影响敏感业务信息资产、数据和流程的潜在风险的早期可见性。

④可视化数据

对风险、风险趋势进行可视化展示,可便捷化对整个风险有总体概览,对主机的安全做到感知。

3、漏洞防御

据国家信息安全漏洞共享平台(CNVD)统计,2020年共收录安全漏洞20704,继续呈上升趋势,同比增长27.9%,2016 年以来年均增长率为17.6%。0day漏洞数量为8902 个(占43.0%),同比增长56.0%。诸如0day漏洞此类高级威胁的不断增长,做好漏洞防御则显得至关重要。

对于0day漏洞而言,由于0day漏洞在调用内存数据的时候,易使用内存篡改技术发起攻击,而绕过传统终端防护机制。安芯网盾智能内存保护系统能够结合操作行为进行上下文关联分析,监控应用对业务相关内存数据的多读、挂钩、篡改等行为,确保用户核心业务应用程序只按照预期方式运行,保持在合法的执行/控制流上。执行过程中的任何异常行为都潜伏着攻击迹象,智能内存保护系统能够在微秒级阻止漏洞利用,而不再关注和依赖系统是否打补丁。

资产、威胁、漏洞三个维度做好防御、检测,规避高级威胁风险的发生,为主机树立一道安全防线!


相关文章