新闻中心 > 新闻详情

安芯网盾:一文简析金融行业安全威胁解决方案

2021 年 10 月 15 日

近年来,随着信息技术的不断发展,越来越多的技术应用于金融领域,金融互联网化、电子化的脚步不断加快,金融作为国民经济命脉,关系着国家和人民的切身利益。随着《网络安全法》的颁布实施,国家将金融信息系统建设列为了重点保护对象,明确指出在主管责任、安全建设、数据保护、安全运维、采购服务等方面都需要做好安全防护工作。人民银行在《金融业信息技术“十三五”发展规划》中对新形势下做好金融网络安全保障工作提出了工作目标,金融机构必须明晰职责主体,完善保障体系,建立更加先进的管理框架,从风险的角度推动网络安全管理,才能保障金融机构的可持续和科学发展。在《关键信息基础设施安全保护条例》中指出,公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等重要行业和领域的,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的重要网络设施、信息系统等都属于关基设施,金融关系着国计民生、国家安全。

网络安全威胁对于金融行业一直觊觎、窥视。据数据研究表明有36%的金融行业遭遇过DDoS攻击,且近年来呈上升趋势。而且,随着新型网络攻击手段的不断出现,通过互联网攻击手段实施金融犯罪活动已经成为金融犯罪的重要手段,金融组织机构也成为网络犯罪分子的首选目标。攻击者通过新型攻击手段利用分析、扫描、破解、攻击工具等对于金融机构进行嗅探,一旦发现可利用漏洞便会发起攻击行为,对其造成的影响将是不可估量的。

同时,网络黑产给全球所带来的安全挑战愈加严峻。各种利用互联网攻击技术进行偷盗、诈骗、敲诈等案件不断发生,围绕互联网的黑灰产业正以极快的速度蔓延且在各国之间相互渗透。“网络黑产从业人员”呈级数增长,利用黑客技术的案件数每年以超过30%的增速增长,“市场规模”也已高达千亿级别。从政策驱动和行业安全表现都对金融行业的安全提出了更高的要求和预警,做好金融安全则是重中之重。

一、金融行业现状与需求分析

随着云计算、大数据、人工智能AI、区块链等技术的不断兴起,科技可以更好的应用于金融业务,同时金融机构面临的网络风险也不断增加。公有云、私有云在安全性中,除了考虑传统网络安全保障体系也需要考虑云计算环境中东西向和南北向的安全隔离防护控制如何强化;数据泄露、滥用、丢失等大数据安全问题;区块链、人工智能AI等新技术应用引起的安全漏洞带来的安全问题等都会给金融安全带来思考空间,诸多都是新技术的应用带来的安全隐患。而且,金融机构存在分支机构多、网点多、分散广等特点,内部和外部的信息系统复杂,存在维护难、升级难、自查难等难于精细化管理的客观情况。对于金融机构的漏洞修复来讲,工作难度较大,金融业务面临风险也就比较高。

2016年,攻防对抗开始兴起,从最初的几家参演单位到现在的几百家参演单位,该行动越来越规模化、常态化。金融行业作为《关键信息基础设施安全保护条例》中的重要产业,也参与到每年的攻防实战中验证自身安全防护能力。由于金融机构的分支机构、营业网点比较多,常见的安全访问VPN中经常出现0day漏洞,出现资产面暴露、攻击面广、内网隔离策略不严格等问题,使得攻击者可以绕过安全防护设备对内网发起攻击,窥探内网主机数据资产,对金融行业来讲,安全风险非常大。

1.2高级威胁攻击能力多样化

金融科技风起云涌,云计算、大数据、移动化、区块链和人工智能等技术在金融领域“生根发芽”,使得金融业务结构调整和行业跨界竞争格局加剧。但是金融业是面向广大客户的行业,金融信息系统具有开放性,但是更加开放的系统也意味着它所面临的威胁在成几何数级增加。传统的流量采集分析设备、EDR、蜜罐、黑白名单等专业的监测、防护手段被防守方广泛使用,常见的通过文件落地实现的Webshell或需以文件形式持续驻留目标服务器的恶意后门的方式逐渐失效,攻击难度逐步加大。而诸如0Day/NDAY漏洞攻击、身份仿冒、钓鱼WiFi、鱼叉邮件、水坑攻击等攻击手法也常被攻击者利用。此背景下,攻击者开始采用无文件攻击(包含内存马)、内存攻击(缓冲区溢出、ROP攻击等)、0day漏洞等新型高级威胁手段,以躲避传统安全防护设备的检测,达到攻击效果。

1.3软件系统开发中存在漏洞

金融信息系统的安全开发在落地实践上存在很多障碍,很多金融机构对于软件的安全开发不够重视,缺少一套完善的软件开发安全管控体系。由于安全风险缺乏控制,导致业务出现如越权操作、密码找回、垃圾注册,以及数据泄露、服务中断等严重影响金融信息系统的稳定运行的问题。主要表现在,安全开发的理念没有深入,安全前置的概念依然没有建立,金融机构未对当前的软件开发流程进行全面梳理,在需求、设计、实施、测试、发布等软件开发的各个阶段都没有足够的安全能力支撑,无法保证安全贯穿整个软件开发生命周期。此外,金融机构缺乏完整合适的安全开发工具及平台,不能够在保持业务敏捷性的前提下将安全性融入到金融应用程序当中,无法充分满足业务扩展的需求。

1.4恶意代码等漏洞利用

众所周知,恶意代码形式多样,包括病毒、木马、蠕虫、后门等由来已久,而且常被用于攻击过程中。像2017年5月12日,一种名为“WannaCry”的蠕虫勒索软件袭击了全球网络,造成至少150个国家、30万名用户中招,损失达80亿美元,这就是其典型案例。而且,金融信息系统资产庞杂,本身在资产识别和管理上有一定的难度,当某资产出现漏洞时,恶意代码便会利用并发起攻击,造成安全问题。

二、基于内存保护的解决方案

从金融业务信息系统特别是关键信息基础设施所具备的特殊性出发,深入分析判断面临的网络安全威胁危害,才能更明确思路、抓住关键、持续增强金融行业网络安全保障能力。在传统安全防护工具上,诸如云WAF、EDR、HIPS等安全防护工具都纷纷部署,期望从不同的层面构筑安全防护能力,确保业务系统的安全,然而针对无文件攻击、0day漏洞、内存攻击等新型高级威胁攻击手段缺少安全防护能力,容易被绕过,当出现此类威胁时,需要更有效的解决方案来防护,内存保护解决方案无疑是最佳选择。

2.1技术原理

计算机体系结构决定了任何安全威胁、恶意攻击都需要经过CPU进行运算,其数据都需要经过内存进行存储。理论上基于CPU指令集这一层面实现的安全方案可以有效防御所有威胁。内存保护是控制计算机内存访问权限的一种方式,是大多数现代指令集架构和操作系统的一部分。

内存保护的主要目的是防止进程访问尚未分配给它的内存。这可以防止进程中的错误或恶意软件影响其他进程或操作系统本身。保护可能包括对特定内存区域的所有访问、写访问或尝试执行该区域的内容。尝试访问未经授权的内存会导致硬件故障,例如,分段故障,存储违规异常,一般会导致违规进程异常终止。用于计算机安全的内存保护包括其他技术,例如地址空间布局随机化和可执行空间保护。

多年来,内存保护变得越来越复杂。这部分是由于技术的进步使得创建具有更大内存容量的硬盘驱动器成为可能,并且需要开发能够支持增加的内存的操作系统。在同一时期,威胁的数量也成倍增加,这使得操作系统有必要对如何将可用内存分配给各种应用程序进行更严格的控制。随着硬盘容量的不断增加,更新的操作系统将包括更强大的内存保护,即使面对试图超越该保护中发现的防御的新威胁,也有助于确保内存管理和完整性得到维护。

内存保护技术可防止或阻止恶意软件的执行和未经授权的企图通过缓冲区溢出获得系统控制权。 应用程序控制提供多种内存保护技术,以防止0day攻击并保护正在运行的进程可执行文件和DLL的完整性。这些技术提供的保护补充了Windows安全功能或基于签名的缓冲区溢出保护产品所提供的保护。这些技术适用于所有受支持的Windows操作系统。而且,内存保护技术可以实现:

  • 内存保护:利用内存检测来检测和保护工作负载何时开始执行攻击者提供的shell代码。

  • Web保护:利用内存检测来检测和保护工作负载何时开始执行攻击者提供的字节代码。

  • 主机保护:利用文件完整性功能来防止任何未经授权的可执行文件、库和脚本中的单个指令执行。

  • 漏洞防护:利用内存保护技术解决0day漏洞、无文件攻击、缓冲区溢出攻击、ROP攻击、傀儡进程等高级威胁攻击。

2.2内存安全产品

新的攻击手段正在打破传统安全边界,使得传统安全防护手段难以检测、防御:基于文件监控、检测技术的方法,无法识别基于内存的攻击;基于日志或流量同样无法检测基于内存的攻击行为;基于内存的攻击,有些恶意代码不在磁盘上落地,更隐蔽;现有安全防护体系缺乏强劲的运行时保护能力。

基于此,安芯网盾采用虚拟化技术、内存行为分析技术、关联分析技术研发设计了内存安全产品,将产品的安全能力从应用层、系统层下沉到硬件虚拟化层,从内存方面着手进行威胁的检测和防护。内存安全产品并未采用通用的特征码匹配检测,而是检测系统、程序内部是否存在敏感行为、异常行为来确认识别恶意程序。这一技术,可以灵敏的感知未知威胁,防御并终止无文件攻击、0day攻击等高级威胁。

  • 从功能来讲,可以更好的帮助用户进行资产管理、日志管理、风险发现等功能场景需求,更细粒度的监测服务器,确保主机资产的安全。
  • 从应用场景讲,基于硬件虚拟化、内存保护技术研发的内存安全产品,可以更好的解决无文件攻击、内存马攻击等高级威胁,弥补传统防护工具的缺失,做好主机安全防护。

某种程度上,通过监控CPU指令并结合上下文分析可以监控系统、程序的各种行为动作,另外通过内存虚拟化等技术可以监控内存的读、写、执行行为,然后结合关联行为分析模块,可以有效防御各种威胁。

1、更底层的监控

大趋势下,为了提高自身安全性,操作系统趋向收缩第三方软件的权限,封闭性逐渐增强。这意味着,通过传统API Hook的监控方式能力越来越受限,传统防护手段效果变弱,只在应用层或系统层进行防护的产品很难第一时间发现并阻断威胁,最终导致数据量减少、检测率低、误报率高。 内存保护技术能有效绕开当前操作系统的一些限制(比如PatchGuard等),实现对系统中各类行为的有效监控。

2、0延时、实时响应

云端分析的过程,是将所有数据上传到服务器,分析完后将结果反馈给客户端,客户端再进行处理。云端分析虽然能取得不错的效果,但中间存在延时。不少方案正是通过在云端进行数据分析的方式发现攻击,再给报警并响应。使用内存保护技术,基于CPU指令集的监控,进行细粒度跟踪、监控系统的各类行为动作,这有利于在保证低误报率的情况下,实时地在本地分析识别更多的威胁,这可以做到0延时、实时响应,当威胁出现时能第一时间告警响应。

3、易于部署、稳定性和兼容性强

内存安全产品支持一键部署,10分钟可完成部署。目前已经在客户的超过10万台服务器上稳定运行,兼容性、稳定性得到充分验证。

2.3内存保护解决方案

安芯网盾基于硬件虚拟化等前沿技术提供高等级的安全保护,能够在应用层、系统层、硬件层提供有机结合的立体防护。

在硬件层,内存安全产品基于先进的硬件虚拟化技术,利用内存虚拟化实现对内存数据监控。

在系统层,也就是驱动层,通过CPU指令监控处理接口、内存监控处理接口,可对内存中异常行为进行检测,当发现异常行为可对未知风险进行阻断或上报数据。同时智能内存防护系统具备强大系统信息采集能力,有助于对异常风险进行分析。

在应用层,安芯智能内存防护系统可对受保护应用注入漏洞防护模块,确保业务应用使用安全,同时在应用层安装Agent,通过Agent可对系统及风险进行检测并上报至管理中心。

1、通过硬件虚拟化技术对内存中关键业务进行打点,并通过对业务的关联分析,监控应用对业务相关内存数据的多读、挂钩、篡改等行为,确保用户核心业务应用程序只按照预期方式运行,不会因为病毒窃取、漏洞触发而遭受攻击,切实有效保护核心数据资产内存安全。

2、采用了内存(访问)行为监控、基于指令集的行为监控和分析等技术实现及时发现并有效的拦截无文件攻击等新兴攻击。支持检测并拦截利用Powershell远程下载执行脚本等攻击、支持检测并拦截WMI来执行恶意代码行为、支持检测并拦截Dll文件在内存中装在系统API中(或映射到内存),从而在内存中执行危险行为等攻击。

3、由于0day漏洞在调用内存数据的时候,易使用内存篡改技术发起攻击,而绕过传统终端防护机制。而安芯网盾内存安全产品能够结合操作行为进行上下文关联分析,监控应用对业务相关内存数据的多读、挂钩、篡改等行为,确保用户核心业务应用程序只按照预期方式运行,保持在合法的执行/控制流上。执行过程中的任何异常行为都潜伏着攻击迹象,内存安全产品能够在微秒级阻止漏洞利用,即时监测并拦截如:无文件、远线程注入、挖矿攻击、启动进程、隐藏进程、隐藏端口等未知威胁攻击,而不再关注和依赖系统是否打补丁。

4、安芯网盾内存安全产品基于应用层、系统层、硬件层来做立体防护,可以在内存级别监控应用进程和指令,识别更多的应用行为,并将其实现可视化展示,使内存数据信息更直观易于管理,系统收集终端上的各种安全状态信息,包括:内存恶意指令、恶意行为代码、漏洞利用攻击,以及终端各种软硬件信息等。这些安全状态信息会汇集到服务器端的监控中心,使管理员全面了解网内所有终端的安全状态、硬件信息,以及软件安装和运行情况等,帮助管理员一目了然的掌握全网安全态势,更方便审计或执行运维管理。

2.4内存保护价值

内存保护技术的应用是希望从更底层的技术出发,解决难以解决的高级威胁问题。冯诺依曼的计算机原理表明,所有的数据都要经过CPU进行运算,也就意味着做好CPU层的数据安全防护问题,也就从靶心处解决了企业安全问题。银行机构采用安芯网盾的内存安全产品之后,解决了高级威胁带来的安全威胁。

1、更靶心的安全防护

采用内存安全产品之后,对于内存马、无文件攻击、0day漏洞等高级威胁,可以更好的监测和防御,帮助用户发现威胁并及时处理。

2、构筑纵深安全防线

对于银行机构一般会采用VPN、防火墙、EDR、HIPS等安全防护工具,当基于内存的攻击绕过安全防线对主机发起攻击时,基于行为、进程在服务器构筑了更底层的安全防线,弥补其它安全产品的缺失,构建了纵深防御的安全防线。

3、业务数据更安全

通过内存保护,确保了服务器的核心数据不被窃取,稳定了企业应用的正常运行,使得业务数据更安全。随着攻防对抗的不断博弈,攻防技术的不断更新、迭代,未来企业将面临更多的安全威胁。瞄准靶心做安全防护,也就从底层设定了最根本的安全防线,解决了威胁最后的攻击意图。

迄今为止,安芯网盾除了银行等金融客户,也为互联网、政企等大型客户提供了内存保护的解决方案,助力企业健康稳续发展。

三、总结

传统安全解决方案在以往的IT架构中发挥了重要的作用,但传统解决方案在面对新型攻击也暴露出一些较为突出的问题,不能适用现代安全的IT管理需求。采用内存保护技术,秉承创新理念,基于实时的程序行为监控、内存操作监控等技术实现在应用程序级别保护内存,确保用户核心业务应用程序只按照预期的方式运行,不会因病毒窃取、漏洞触发而遭受攻击。

隐私政策     法律信息     Copyright©️2019-2023 ANXINSEC All Rights Reserved | 京ICP备19024522号-1 |  京公网安备 11010802033723号

试用申请

提交申请成功后,我们会及时与您联系以提供专业的安全服务。

发送验证码
试用产品选择

申请提交成功

感谢您的申请,我们会及时与您取得联系。

关注安芯官方微信公众号,了解更多公司消息

系统信息检测平台
当前版本:v3.0.12
文件大小:19.3MB
更新时间:2020.07.24