新闻中心 > 新闻详情

安芯网盾:基于内存保护技术的主动防御体系建设

2020 年 11 月 18 日

编者按

2020年11月13-14日,由公安部网络安全保卫局、中国科学院办公厅、国家网络与信息安全信息通报中心指导,公安部第三研究所、公安部第一研究所、中国电子科技集团公司第十五研究所联合主办的“第15届政府/行业信息化安全年会”在京顺利召开。安芯网盾产品总监朱燕涛先生受邀在大会主论坛分享了《基于内存保护技术的主动防御体系建设》的主题演讲,小编为大家整理了演讲精彩内容。

近期,我们处理了几起应急响应事件,客户服务器在具备一定防护能力的情况下依旧遭受到攻击。客户找到我们处理,虽然完成了对问题的修复,但是已经发生的攻击依旧对客户造成了一定影响。

我们已经进入到一个新时代,面临的新型威胁层出不穷,基于内存的攻击是各类系统和应用所面临的最大威胁。

 

背景分析

无文件攻击是一种典型的基于内存的新型攻击方式,相较于其他攻击手段更容易成功,主要原因是无文件攻击利用了系统可信工具,从而绕过了传统防护手段。尽管企业和机构都部署了大量的安全防护产品,攻击者仍然能够轻而易举的突破层层防线,复杂的网络攻击在不断增加,现有的检测防御方案失效,成为企业在安全能力建设中的痛点。

我们分析了基于内存的攻击难以防御的四大原因:

2.jpeg

原因一:通过签名技术无法识别基于内存的攻击。基于签名技术的大多数方法基于特征匹配模式,无法识别基于内存的攻击。

无文件攻击是典型的在内存中进行远程加载和执行或在内存中构建恶意代码片段从而达到执行效果的攻击,可以轻松绕过基于签名的技术。无文件攻击的危害主要表现在其可以进行挖矿、勒索、数据窃取,比如近期美国大选,就有攻击者通过无文件攻击进行数据窃取,其主要利用APT邮件钓鱼,在文档中植入VBS脚本,从而达到执行效果。我们将此文件上传至国际知名的安全检测引擎VirusTotal上,其扫描全部通过,未检测出任何异常。故通过签名技术无法识别基于内存的攻击。

3.png

原因二:基于日志或流量同样无法检测基于内存的攻击行为。基于日志或流量方式具有明显滞后性,基于内存的攻击运行在正常的信道上,并且会逃避检测。

4.png

原因三:基于内存的攻击通常发生在应用程序内部,而传统防护手段无法应对。应用程序安全可以通过很多手段进行加强,包括安全管理手段与技术手段,但是应用程序引入第三方库以及复杂的业务架构使其变得复杂化,不可避免地会引入一些新漏洞或新风险。

传统防护手段存在明显弊端:

杀毒软件基于特征仅能应对已知威胁,同时依赖云查杀能力,通过伪造或篡改信息可以轻松绕过;

沙箱技术存在环境可被感知和无法检测应用内部程序的问题;

补丁管理存在兼容性问题,同样仅能应对已知威胁;

主机IDS分为基于特征和基于行为,基于特征仅能应对已知威胁,基于行为存在误报率高的问题;

非黑即白主要是白名单机制,对应用程序防护有一定效果,但存在白利用和管理维护复杂问题;

基于日志和流量存在滞后性以及误报率高等问题。

综上所述,传统防护手段难以应对基于应用程序内部的攻击行为。

5.png

原因四:现有安全防护体系缺乏运行时保护能力。20世纪90年代我们以边界防御为主,其核心思想是防止非法进入,以建墙为主。21世纪初,以深度防御为主、核心是建立层次化防御,针对不同维度引入相对应的安全防护手段 。2010年以后,以连续监测为主,主要是用于分析被突破后继续通过蛛丝马迹发现恶意行为。而现在我们以主动防御为主。提高“实时响应”能力是主动防御的一个重要环节,能够实现对业务连续性的保障。

 

主动防御体系建设

针对上述问题,我们推出了安芯网盾内存保护系统,专注于解决内存安全防护问题,包括无文件攻击、基于内存的攻击、0day漏洞攻击等。

内存保护技术不是为了取代某项既有的检测技术,而是要解决现有安全防护体系的不足,解决防御滞后性问题。

6.jpeg

随着检测和响应能力的兴起,内存保护系统以实时性和准确性为核心能力,以保护用户业务机密性、完整性及可用性为目的,防止内存中数据泄露、篡改、破坏行为。

现有安全体系大都采用了纵深防御体系,而内存保护的定位是主机安全防护的最后一道防线。当攻击者利用新型攻击方式,或利用系统、应用漏洞绕过传统防护手段,将恶意代码悄无声息的植入到内存时,内存保护系统会对其进行实时监测与拦截,从而保护客户数据安全及业务连续性。

7.png

同样内存保护系统可以有效保护云主机安全,CWPP(云工作负载安全防护平台)是云安全中首先要考虑的类别之一。

CWPP体系结合恶意软件扫描、主机入侵、行为监控、应用检测等8大能力建设,来保护平台免受攻击,但在内存保护层面存在明显薄弱环节,内存保护系统将在云安全上发挥重要作用,内存保护系统将为云安全构建一道新的防线。

8.png

内存保护系统采用硬件虚拟化技术架构,其中主要有两个环节:防御与管理。

内存保护系统为软件形态,运行在系统层,向下与主流架构进行适配,上层则是OS层。内存保护系统运行环境具有一个较高的权限,当其运行时可以理解为运行在Host模式,而整个系统运行在Guest模式。结合VMM技术可实现对系统及内存行为的全面监控,这样可以确保内存保护系统具有较高的检出率,当发现威胁时会上报至管理端,通过管理端进行安全运维管理,管理端提供风险管理、资产盘点、策略管理、日志审计等功能。

9.png

内存保护系统解决内存防护空白,内存安全是系统安全的一个前提。

内存保护系统通过硬件虚拟化技术对内存关键节点进行打点,从而解决内存访问行为不可见问题。

内存保护系统充分利用了CPU本身隔离机制,保障自身运行安全。

内存保护系统可以有效监控内存恶意访问行为,当发现内存中出现恶意执行时,内存保护系统将实时进行检测与阻断,解决内存保护空白。

 

主动防御体系建设目标

10.png

内存保护提供三大防御能力:漏洞防御、数据保护、威胁防御。

通过监控内存恶意读、写、执行行为,监控内存中的堆喷射、堆栈溢出、内存数据覆盖等行为,结合拦截模块可以对漏洞进行有效防御。

通过监控内存中“多读”“挂钩”“篡改”等行为可以有效保护内存数据。比如心脏滴血就是典型的内存多读恶意行为,挂钩主要用于内存缓存数据窃取,篡改可以对内存数据进行破坏。

基于CPU、内存指令集可以有效监控内存数据执行流状态,从而可以实现威胁防御能力。

11.png

同样内存保护系统可以实现真正的“运行时安全保障能力”。

内存保护系统可以监控程序合法执行流状态,当其在执行过程中出现任何偏差,内存保护系统将会对其进行实时监测与拦截,适合应用于特定场景,需要对业务进行提前学习。

12.png

内存保护系统安全管理基于P2DR模型,以策略为核心,建立三大防御能力,对应“保护”、“检测”、“响应”能力。

13.png

内存保护系统核心参数:CPU使用率小于5%、内存使用率小于40M、稳定运行达到99.99%、基于内存攻击检测率大于95%,并可实现毫秒级响应。

具有运行稳定、系统资源消耗低、高检出、低误报、毫秒级响应等特点。

14.png

今年我们也参加了某部委HW行动,主要对域控场景进行有效防御。

域控是一个典型的集权系统。攻击方和防守方都以争夺DC(域控制器)控制权为目标,而传统防护手段难以对内存缓存数据、票据进行有效防御,常见的攻击手段如漏洞利用攻击、PTH攻击、Lsass进程攻击、黄金票据、白银票据等攻击。

内存保护系统可以有效防止Dump内存等行为,同样内存保护系统可以有效拦截通过CS、Mimikatz等工具对黄金票据或白银票据的获取,从而达到防护作用。

15.png

建立真正的程序运行时安全是我们建立主动防御体系的目的,我们总结需要具备如下三点能力:

1、需要具备在执行期间阻止攻击能力。

2、能够及时阻止内存滥用问题。

3、能够实现业务上下文关联分析,发现应用程序内部威胁。

攻击发生前阻止是猜测,攻击发生之后阻止为时已晚,内存保护系统为用户提供真正的运行时防护能力。

隐私政策     法律信息     Copyright©️2019-2020 ANXINSEC All Rights Reserved | 京ICP备19024522号

试用申请

提交申请成功后,我们会及时与您联系以提供专业的安全服务。

发送验证码
试用产品选择

申请提交成功

感谢您的申请,我们会及时与您取得联系。

关注安芯官方微信公众号,了解更多公司消息

系统信息检测平台
当前版本:v3.0.12
文件大小:19.3MB
更新时间:2020.07.24