-
-
[分享]ISC 2022 | 聚焦基于内存保护的威胁检测技术
-
发表于: 2022-5-27 19:10 5837
-
5月23日,第十届互联网安全大会(ISC 2022)联合新一代元宇宙聚会平台“N世界”,正式开启数字安全万人元宇宙大会序幕!
安芯网盾受邀亮相“高级威胁检测与响应技术论坛”,和业界同仁共话内存安全、攻击溯源之道。
安芯网盾成立于2019年,自成立以来,一直致力于提供内存安全领域的相关产品、服务和解决方案,是国内内存安全领域的开拓者和领军者,已为国内外多家知名企事业单位持续提供服务。
安芯网盾售前总监李正在ISC 2022“高级威胁检测与响应技术论坛”上围绕行业普遍关注的高级威胁和攻防对抗的话题,进行了以“去伪识真-基于内存保护的威胁检测技术”为主题的精彩演讲,便于大家从更深层次来看待网络安全问题。
当前,为什么说我们正面临的网络安全威胁是史无前例的?
首先,针对网络发起的攻击已经成为不法分子最具性价比的攻击方式。从2020年以来,数据逐渐成为了生产要素,信息技术从原先的生产工具已经演变为先进生产力的代表之一。
另外,在当前的网络攻防中,防护成本和攻击成本不成正比。我们花在日常安全防护上的人力、精力和财力要远高于攻击方自动化的攻击方式,防守方的一个安全死角,往往会使重金打造的安全防线瞬间失效。
面对网络攻击时,最常用的应对方式有哪些?
方式一:基于流量进行分析。通过网络流量报文的解析判断攻击动作,从而对攻击进行拦截。但随着网络技术的发展以及攻击手段的升级,基于流量的检测越来越难。
方式二:基于日志的检测。主机、终端、网络安全设备都基本已经具备了详细的日志记录和外发能力,日志在事后的排查中能够起到关键性的作用。但是日志也存在着被篡改或者意外丢失的可能,以及检测滞后性的特点。
方式三:基于特征的检测。当前,流量的特征、漏洞的特征以及文件的特征已经能够在短时间内通达各企业,甚至直接下发到安全设备。但是攻击者不断的变换攻击特征,使得一些攻击悄无声息进行。
网络攻击的本质和内存安全之间的关系?
网络攻击的本质,无外乎是一种程序的运行。当前绝大多数计算机都是基于冯·诺依曼结构,在这种结构中,CPU和内存是程序执行的两个必经部件。
关于内存安全,在冯·诺依曼计算机体系结构中,所有运行的程序都必须储存在内存中,程序要处理的数据也必须在内存中存储,程序和数据也必须经过CPU来执行和处理,因此守住内存和CPU,就可以守住、感知到所有威胁的发生。
因此,在“内存”这个必经之路上进行严密设防,是能够从攻击的技术本质上进行有效识别和拦截的。
网络攻击在内存中运行时的3大特性有哪些?
第一个特性是攻击的收敛性。有两个维度,一个是数量上的收敛,一个是行为上的收敛。
第二个特性是规范性。在当前主流的计算机架构中,程序的内存空间主要有3个:代码段、数据段和堆栈段。内存空间中的每个存储段都有严格的执行规范,即便是恶意代码或者攻击指令,也需要遵从相关的约束才能够完成一系列的攻击动作。
第三个特性是可读性。在实际业务环境中,尽管数据都经过严格加密,但在内存中存储的执行指令是可读的,因此攻击方的行为指令,在内存中是能够被解读的。
安芯网盾提供的防护思路和解决方案:
基于攻击在内存中的收敛性、规范性和可读性,我们是能够利用行为分析的思路去实现相关监测的。安芯网盾的核心团队在过去10年的时间里,通过对海量的病毒样本进行分析,开创性地研发了内存保护技术,推出了在内存安全细分领域的主打产品-内存保护系统。
内存保护将安全防护能力从应用层、系统层拓展到硬件虚拟化层,可以有效应对系统设计缺陷、外部入侵等威胁,帮助企业防御并终止在业务关键应用程序中的无文件攻击、0day漏洞攻击等高级威胁,切实有效保障用户的核心业务不被阻断、核心数据不被窃取。
内存保护技术能够在攻击运行时起到有效的防护,能够利用1%的资源让攻击方停留在99%的进度上。
此次,安芯网盾受邀参加ISC 2022线上峰会活动,不仅是对安芯网盾在内存安全领域专业能力的高度认可,也是对我们在技术创新、服务创新等方面的鞭策和鼓励。
未来,安芯网盾将不断发挥自身技术优势,深耕内存安全领域,持续为用户提供基于内存保护的主机+终端的一体化端点安全解决方案,为用户提供实时的高级威胁防护能力,为国家数字化经济发展和网络强国建设积极贡献力量。