BCS2022 | 攻防实战下的深度威胁监测
作者: 日期:2022年06月02日 阅:1,396

5月20日-23日,2022北京网络安全大会(BCS2022)冬奥网络安全“零事故”宣传周暨网络安全优秀产品推介会顺利举行,安芯网盾作为展播企业,在首日峰会上进行了以“攻防实战下的深度威胁监测”为主题的精彩分享。 

对抗的本质是攻防双方的较量,一年一度的攻防演练则是攻防较量中的“重头戏”。今年,攻击方的攻击手段和防守方的防守方案都进行全面升级迭代。本次分享,分别以攻防双方视角,详细介绍高级威胁监测,以及如何有效防御高级威胁,高效备战。

近几年红队攻击手法更加多元化,信息收集粒度更细、范围更广,攻击方式越发隐蔽,大量采用先进的攻击手段,逃避安全检测。攻击手段整体呈现绕过性好、成功率高、隐蔽性强、溯源难度大等特点。

攻击方攻击手段不断升级,防守方也更加重视自身网络安全建设,构建主动防御体系,形成攻击溯源和反制能力;优化资产盘点管理,降低数据泄露风险;提升安全运维人员的攻防对抗能力和网络安全事件应急处置水平。

那么,面对隐蔽性高、破坏性强的攻击手段,防守方需要做哪些准备呢?

一、 红队武器top之无文件攻击: 

攻击者通常利用钓鱼邮件或是某些软件漏洞发起攻击,并调用Powershell、WMI、PsExec等系统自有工具远程下载执行恶意命令,具有隐蔽性强、攻击成功率高、破坏力大、溯源困难等特点。基于特征签名、网络流量、系统日志的传统检测手段很难有效应对无文件攻击,很多勒索病毒、挖矿木马甚至恶意后门程序大多数是通过无文件攻击实现。 

安芯网盾提供的无文件攻击防护方案: 

内存保护系统摆脱了对特征签名、网络流量、系统日志等采用静态特征检测方式的依赖,采用行为分析技术,深入Powershell、WMI等脚本解释器内部监控进程行为,能有效检测和发现无文件攻击行为,并能对攻击进行阻断。

二、红队武器top之内存破坏攻击: 

内存破坏型漏洞产生于非预期的内存越界访问,攻击者利用0day漏洞或未修复漏洞进行内存篡改以避开传统安全解决方案,并在受害主机或终端上执行恶意代码。 

高级的攻防对抗中,常见的隐蔽性高的攻击手段:

安芯网盾提供的内存破坏攻击防护方案: 

面对以上这些隐蔽性高、破坏性强的内存破坏攻击,安芯网盾从以下四个方面出发: 

1、监控内存中,是否写入恶意的shellcode; 

2、内存区块是否被变更了读写执行权限; 

3、相关操作系统的重要API是否遭受异常遍历; 

4、敏感的、高危的操作系统API是否被调用; 

通过一系列离散的监测点形成完整的监测链,通过行为判断,监控其在内存上的异常行为,进而精准捕获攻击者在内存破坏上的动作。

三、红队武器top之内存马攻击: 

以Java tomcat为例,在tomcat环境中,业务流转的整个过程都会经过listener、fileter、serverlet三个组件,在网络攻击过程中,攻击者可以利用这三个组件对业务系统实施内存马攻击。

安芯网盾提供的内存马防护方案: 

针对内存马攻击防护,安芯网盾采用rasp技术,rasp是在2014年被提出的一项技术,其理念是将安全防护代码注入到应用程序中,和正常业务代码融为一体,以一种“免疫”的方式来抵御外部的高级攻击。 

安芯网盾内存马防护具有以下几个特点: 

1、轻侵入模式无需重启:和传统RASP技术相比,采用轻侵入模式,业务无需重启,能够监测已加载的内存马。 

2、行为分析引擎:采用行为分析引擎,对jvm内运转的相关程序执行动作均会进行标记,能够有效应对未知威胁。 

3、不占用业务进程空间:传统RASP技术占用业务应用的jvm内存,存在影响业务系统运行的风险,安芯只在jvm中对程序执行动作进行标记,分析进程是在jvm之外的单独进程中分析,不占用正常业务进程的jvm空间。

作为有丰富的攻防实战经验的安全厂商,安芯网盾在攻防演练中,将为客户提供“产品+服务”的创新安全方案,另外,通过总结各类客户的服务经验,已形成了一套精准、高效的攻防演练防护模式。在攻防演练中,通过专家团队与规范化服务流程保证服务的全面性、专业性、高效性。

申明:本文系厂商投稿收录,所涉观点不代表安全牛立场!


相关文章