安芯網盾基於記憶體保護技術的主動防禦體系建設

2023年11月13-14日，由公安部網路安全保衛局、中國科學院辦公廳、國家網路與資訊保安資訊通報中心指導，公安部第三研究所、公安部第一研究所、中國電子科技集團公司第十五研究所聯合主辦的「第15屆**/行業資訊化安全年會」在京順利召開。安芯網盾產品總監朱燕濤先生受邀在大會主論壇分享了《基於記憶體保護技術的主動防禦體系建設》的主題演講。

「近期，我們處理了幾起應急響應事件，客戶伺服器在具備一定防護能力的情況下依舊遭受到攻擊。客戶找到我們處理，雖然完成了對問題的修復，但是已經發生的攻擊依舊對客戶造成了一定影響。」朱燕濤表示，我們已經進入到乙個新時代，面臨的新型威脅層出不窮，基於記憶體的攻擊是各類系統和應用所面臨的最大威脅。

背景分析

無檔案攻擊是一種典型的基於記憶體的新型攻擊方式，相較於其他攻擊手段更容易成功，主要原因是無檔案攻擊利用了系統可信工具，從而繞過了傳統防護手段。儘管企業和機構都部署了大量的安全防護產品，攻擊者仍然能夠輕而易舉的突破層層防線，複雜的網路攻擊在不斷增加，現有的檢測防禦方案失效，成為企業在安全能力建設中的痛點。

基於記憶體的攻擊難以防禦的四大原因：

原因一：通過簽名技術無法識別tipjrgxvmt基於記憶體的攻擊。基於簽名技術的大多數方法基於特徵匹配模式，無法識別基於記憶體的攻擊。

無檔案攻擊是典型的在記憶體中進行遠端載入和執行或在記憶體中構建惡意**片段從而達到執行效果的攻擊，可以輕鬆繞過基於簽名的技術。無檔案攻擊的危害主要表現在其可以進行挖礦、勒索、資料竊取，比如近期美國**，就有攻擊者通過無檔案攻擊進行資料竊取，其主要利用apt郵件釣魚，在文件中植入vbs指令碼，從而達到執行效果。我們將此程式設計客棧檔案上傳至國際知名的安全檢測引擎virustotal上，其掃瞄全部通過，未檢測出任何異常。故通過簽名技術無法識別基於記憶體的攻擊。

原因二：基於日誌或流量同樣無法檢測基於記憶體的攻擊行為。基於日誌或流量方式具有明顯滯後性，基於記憶體的攻擊執行在正常的通道上，並且會逃避檢測。

原因三：基於記憶體的攻擊通常發生在應用程式內部，而傳統防護手段無法應對。應用程式安全可以通過很多手段進行加強，包括安全管理手段與技術手段，但是應用程式引入第三方庫以及複雜的業務架構使其變得複雜化，不可避免地會引入一些新漏洞或新風險。

傳統防護手段存在明顯弊端：

防毒軟體基於特徵僅能應對已知威脅，同時依賴雲查殺能力，通過偽造或篡改資訊可以輕鬆繞過；

沙箱技術存在環境可被感知和無法檢測應用內部程式的問題；

補丁管理存在相容性問題，同樣僅能應對已知威脅；

主機ids分為基於特徵和基於行為，基於特徵僅能應對已知威脅，基於行為存在誤報率高的問題；

非黑即白主要是白名單機制，對應用程式防護有一定效果，但存在白利用和管理維護複雜問題；基於日誌和流量存在滯後性以及誤報率高等問題。

綜上所述，傳統防護手段難以應對基於應用程式內部的攻擊行為。

原因四：現有安全防護體系缺乏執行時保護能力。20世紀90年代我們以邊界防禦為主，其核心思想是防止非法進入，以建牆為主。21世紀初，以深度防禦為主、核心是建立層次化防禦，針對不同維度引入相對應的安全防護手段。2023年以後，以連續監測為主，主要是用於分析被突破後繼續通過蛛絲馬跡發現惡意行為。而現在我們以主動防禦程式設計客棧為主。提高「實時響應」能力是主動防禦的乙個重要環節，能夠實現對業務連續性的保障。

主動防禦體系建設

針對上述問題，我們推出了安芯網盾記憶體保護系統，www.cppcns.com專注於解決記憶體安全防護問題，包括無檔案攻擊、基於記憶體的攻擊、0day漏洞攻擊等。記憶體保護技術不是為了取代某項既有的檢測技術，而是要解決現有安全防護體系的不足，解決防禦滯後性問題。

隨著檢測和響應能力的興起，記憶體保護系統以實時性和準確性為核心能力，以保護使用者業務機密性、完整性及可用性為目的，防止記憶體中資料洩露、篡改、破壞行為。現有安全體系大都採用了縱深防禦體系，而記憶體保護的定位是主機安全防護的最後一道防線。當攻擊者利用新型攻擊方式，或利用系統、應用漏洞繞過傳統防護手段，將惡意**悄無聲息的植入到記憶體時，記憶體保護系統會對其進行實時監測與攔截，從而保護客戶資料安全及業務連續性。

同樣記憶體保護系統可以有效保護雲主機安全，cwpp（雲工作負載安全防護平台）是雲安全中首先要考慮的類別之一。cwpp體系結合惡意軟體掃瞄、主機入侵、行為監控、應用檢測等8大能力建設，來保護平台免受攻擊，但在記憶體保護層面存在明顯薄弱環節，記憶體保護系統將在雲安全上發揮重要作用，記憶體保護系統將為雲安全構建一道新的防線。

記憶體保護系統採用硬體虛擬化技術架構，其中主要有兩個環節：防禦與管理。記憶體保護系統為軟體形態，執行在系統層，向下與主流架構進行適配，上層則是os層。記憶體保護系統執行環境具有乙個較高的許可權，當其執行時可以理解為執行在host模式，而整個系統執行在guest模式。結合vmm技術可實現對系統及記憶體行為的全面監控，這樣可以確保記憶體保護系統具有較高的檢出率，當發現威脅時會上報至管理端，通過管理端進行安全運維管理，管理端提供風險管理、資產盤點、策略管理、日誌審計等功能。

記憶體保護系統解決記憶體防護空白，記憶體安全是系統安全的乙個前提。記憶體保護系統通過硬體虛擬化技術對記憶體關鍵節點進行打點，從而解決記憶體訪問行為不可見問題。該系統充分利用了cpu本身隔離機制，保障自身執行安全，同時可以有效監控記憶體惡意訪問行為，當發現記憶體**現惡意執行時，記憶體保護系統將實時進行檢測與阻斷，解決記憶體保護空白。

主動防禦體系建設目標

記憶體保護提供三大防禦能力：漏洞防禦、資料保護、威脅防禦。通過監控記憶體惡意讀、寫、執行行為，監控記憶體中的堆噴射、堆疊溢位、記憶體資料覆蓋等行為，結合攔截模組可以對漏洞進行有效防禦。通過監控記憶體中「多讀」「掛鉤」「篡改」等行為可以有效保護記憶體資料。比如心臟滴血就是典型的記憶體多讀惡意行為，掛鉤主要用於記憶體快取資料竊取，篡改可以程式設計客棧對記憶體資料進行破壞。基於cpu、記憶體指令集可以有效監控記憶體資料執行流狀態，從而可以實現威脅防禦能力。

同樣記憶體保護系統可以實現真正的「執行時安全保障能力」。記憶體保護系統可以監控程式合法執行流狀態，當其在執行過程**現任何偏差，記憶體保護系統將會對其進行實時監測與攔截，適合應用於特定場景，需要對業務進行提前學習。

記憶體保護系統安全管理基於p2dr模型，以策略為核心，建立三大防禦能力，對應「保護」、「檢測」、「響應」能力。保護主要針對防護記憶體攻擊及防禦漏洞攻擊。檢測需要具備實時監測能力，能夠實時發現風險及攻擊事件。響應同樣需要具備實時響應能力，具備實時攔截及告警能力。

記憶體保護系統核心引數：cpu使用率小於5%、記憶體使用率小於40m、穩定執行達到99.99%、基於記憶體攻擊檢測率大於95%，並可實現毫秒級響應。具有執行穩定、系統資源消耗低、高檢出、低誤報、毫秒級響應等特點。

建立真正的程式執行時安全是我們建立主動防禦體系的目的，我們總結需要具備如下三點能力：

1、需要具備在執行期間阻止攻擊能力。

2、能夠及時阻止記憶體濫用問題。

3、能夠實現業務上下文關聯分析，發現應用程式內部威脅。

攻擊發生前阻止是猜測，攻擊發生之後阻止為時已晚，記憶體保護系統為使用者提供真正的執行時防護能力。

本文位址:

安芯網盾基於記憶體保護技術的主動防禦體系建設

安芯網盾獲2019中國優秀IT服務商獎

安芯網盾以記憶體保護技術實現真正的主機安全

黑盾網安免殺教程

安芯網盾 基於記憶體保護技術的主動防禦體系建設

安芯網盾獲2019中國優秀IT服務商獎

安芯網盾 以記憶體保護技術實現真正的主機安全

黑盾網安免殺教程

相關推薦

安芯網盾基於記憶體保護技術的主動防禦體系建設

安芯網盾以記憶體保護技術實現真正的主機安全