新闻中心 > 新闻详情

安芯网盾:破解0day漏洞实现整体业务安全,内存安全是必杀技

2021 年 02 月 25 日

0day漏洞顾名思义是"未公开的漏洞",一旦被攻击者掌握,对受攻击者来讲是致命的。由于0day漏洞是很难提前预防的,它的出现又会涉猎到业务程序或系统甚至是硬件的方方面面,大多数情况下0day漏洞很少被立即发现,通常需要数日及以上。同样0day漏洞由于不同复杂性和破坏性其价值也有很大差异化。反观2020年的攻防演练活动中,0day漏洞也成为了红方团队突破防线的有利武器,活动之初0day被成功利用,致使红方团队一开始就王炸加飞机,而蓝方团队防线轻易被打破。放到企业中,这将会带来难以估量的损失。

众所周知,利用0day漏洞攻击可以避开传统的安全解决方案,攻击者利用漏洞对特定目标实施入侵行为,进而在受害终端上执行恶意代码最终实现"获利"目的。而且,0day漏洞是客观存在、不可预知的,如何加强对0day漏洞的安全缓解措施?让我们继续为大家解析。

为何说0day漏洞很危险?

一提到漏洞,我们第一反应会想到补丁,而补丁应对的仅仅是已知漏洞,而0day漏洞具有"未公开""未知""0时差"等特性,这些特性足以在网络上发生肆意的攻击,对于数字时代下的企业来讲,这简直是一场完全不对称的、无形的战役。作为管理员当前能做到的只是在发现攻击行为后,尽快展开对漏洞攻击防范的应急处理流程,以减少因遭受攻击所带来的损失。

接下来,我们简单了解下0day漏洞攻击从时间跨度的八个关键节点。

1、引入漏洞

-可以理解为我们业务程序带伤上场,而当前我们编程人员或安全人员却不知道的状态。

2、攻击者发现漏洞

–攻击者通过技术手段对攻击目标进行深入分析挖掘,发现其存在的漏洞,从而找到绕过现有安全机制的一种技术手段。

3、攻击者对漏洞的利用

-当前攻击者利用0day漏洞通常具有特定的目标,其一旦对目标实施攻击将会产生"一击致命"的效果。

4、受攻击者/供应商发现漏洞

–受攻击者/供应商意识到该漏洞,但补丁仍然不可用。

5、漏洞公开披露

–供应商或安全研究人员宣布了此漏洞,使大家广泛意识到此漏洞。

6、发布防病毒签名

-如果攻击者创建可利用0day漏洞攻击的恶意程序,则防病毒供应商可以相对快速地识别其签名并加以防范。由于可能存在其他利用此漏洞的方法,因此系统仍可能被攻击。

7、发布补丁

-供应商最终会发布该漏洞的修复程序,但这可能需要几个小时到几个月不等,具体取决于修复程序的复杂性以及供应商在其开发过程中对修复程序的优先级划分。

8、补丁程序部署

–即使发布了补丁程序,用户也可能花费很长时间来进行充分验证及部署。

如何进行0day攻击?

攻击者利用0day漏洞利用攻击的方式同样具有多样化特点:

1、利用文档漏洞,通过钓鱼电子邮件附带的文件(如微软Office文档,Adobe pdf,或其他软件可执行文件或组件)嵌入逃避检测的脚本、宏或其他恶意程序。

2、利用软件漏洞,软件存在的错误配置或引用第三方开源程序组件,由于业务本身需要对外提供网络访问行为,攻击者同样可以利用软件程序漏洞实现漏洞利用攻击。

3、利用系统漏洞,系统漏洞频发,也是当前遇到较多一种。

4、利用硬件漏洞,路由器、安全设备固件、VPN设备等,虽然在漏洞挖掘上难度系数较高,但依旧无法确保没有新漏洞的产生。

0day漏洞出现涉及的方面还有很多,似乎其出现只是时间的问题,针对0day漏洞防御滞后性问题依旧是当前防御一个重点。

 内存安全防护是0day攻击的必杀技

传统安全解决方案可以很好的解决IT架构中发现的安全威胁问题,但是,在面对0day等漏洞攻击中也略显疲态;而内存保护可以做好安全防御的最后一道防线,堪称是此类攻击的必杀武器。

1、解决应用运行程序安全问题

由于0day漏洞在操作应用内存的时候,易使用内存篡改技术发起攻击,而绕过传统终端防护机制。而安芯网盾内存安全产品能够通过映射应用的合法执行路径来达成其实时检测并阻止攻击的目的。执行过程中的任何异常都是遭到攻击的迹象,内存安全产品能够在微秒级阻止漏洞利用。其能够有效保护应用运行时安全,即时阻止未知攻击、无文件攻击,而不再关注系统是否打补丁。

2、解决内存数据泄漏的问题

通过硬件虚拟化技术对内存中关键业务进行打点,安芯网盾内存安全产品深入内存层级检测他们在运行时的实际执行情况。并通过对业务的关联分析,监控应用对业务相关内存数据的多读、挂钩、篡改等行为,确保用户核心业务应用程序只按照预期方式运行,不会因为病毒窃取、漏洞触发而遭受攻击,切实有效保护核心数据资产不被窃取。

3、防护未知威胁

内存安全产品采用虚拟化技术,提供了一种全新检测方法,侧重于保障执行完整性,不依赖于过去的恶意事件、恶意病毒的模式匹配,而是在内存级别监控应用程序进程,并确保它们保持在合法的执行/控制流上。还提供精确的上下文细粒度行为分析,可深入应用程序进程内部,感知识别进程的危险性,通过这种方式确保应用程序的执行完整性,从而能够有效防护 0day 攻击、无文件攻击、内存攻击等。

4、解决安全管控要求

相对黑客单点突破的威胁,企业全面的安全防护难度系数其实更大。而安芯网盾内存安全产品基于应用层、系统层、硬件层来做立体防护,它能识别更多的程序行为种类,在威胁造成损害之前阻止它们,其包含 0day漏洞攻击、无文件攻击、Buffer溢出攻击、DLL注入、ROP攻击、侧信道攻击、配置数据损坏、病毒木马攻击等。

5、终端安全态势监控

安芯网盾智能内存防护系统可以收集终端上的各种安全状态信息,包括:恶意行为代码、漏洞攻击、内存恶意代码以及终端各种软硬件信息等。这些安全状态信息会汇集到服务器端的监控中心,使管理员全面了解网内所有终端的安全情况、硬件状态以及软件安装情况等。可以帮助管理员一目了然的掌握全网安全态势。

 写在最后

虽然,0day漏洞攻击可以采取诸如病毒、勒索软件或特洛伊木马等形式,通过浏览网页、打开电子邮件或启动文件之类的正常活动来感染设备,发起攻击,但是基于内存层的安全防护可以针对此威胁做好安全检测及防御,帮助企业实现业务安全,构筑数据安全防线,健康稳定运行。

隐私政策     法律信息     Copyright©️2019-2023 ANXINSEC All Rights Reserved | 京ICP备19024522号-1 |  京公网安备 11010802033723号

试用申请

提交申请成功后,我们会及时与您联系以提供专业的安全服务。

发送验证码
试用产品选择

申请提交成功

感谢您的申请,我们会及时与您取得联系。

关注安芯官方微信公众号,了解更多公司消息

系统信息检测平台
当前版本:v3.0.12
文件大小:19.3MB
更新时间:2020.07.24