首页
社区
课程
招聘
[原创]BCS2022 | 攻防实战下的深度威胁监测
发表于: 2022-6-2 19:04 6729

[原创]BCS2022 | 攻防实战下的深度威胁监测

2022-6-2 19:04
6729

5月20日-23日,2022北京网络安全大会(BCS2022)冬奥网络安全“零事故”宣传周暨网络安全优秀产品推介会顺利举行,安芯网盾作为展播企业,在首日峰会上进行了以“攻防实战下的深度威胁监测”为主题的精彩分享。
对抗的本质是攻防双方的较量,一年一度的攻防演练则是攻防较量中的“重头戏”。今年,攻击方的攻击手段和防守方的防守方案都进行全面升级迭代。本次分享,分别以攻防双方视角,详细介绍高级威胁监测,以及如何有效防御高级威胁,高效备战。
近几年红队攻击手法更加多元化,信息收集粒度更细、范围更广,攻击方式越发隐蔽,大量采用先进的攻击手段,逃避安全检测。攻击手段整体呈现绕过性好、成功率高、隐蔽性强、溯源难度大等特点。
攻击方攻击手段不断升级,防守方也更加重视自身网络安全建设,构建主动防御体系,形成攻击溯源和反制能力;优化资产盘点管理,降低数据泄露风险;提升安全运维人员的攻防对抗能力和网络安全事件应急处置水平。
那么,面对隐蔽性高、破坏性强的攻击手段,防守方需要做哪些准备呢?
一、 红队武器top之无文件攻击:
攻击者通常利用钓鱼邮件或是某些软件漏洞发起攻击,并调用Powershell、WMI、PsExec等系统自有工具远程下载执行恶意命令,具有隐蔽性强、攻击成功率高、破坏力大、溯源困难等特点。基于特征签名、网络流量、系统日志的传统检测手段很难有效应对无文件攻击,很多勒索病毒、挖矿木马甚至恶意后门程序大多数是通过无文件攻击实现。

安芯网盾提供的无文件攻击防护方案:
内存保护系统摆脱了对特征签名、网络流量、系统日志等采用静态特征检测方式的依赖,采用行为分析技术,深入Powershell、WMI等脚本解释器内部监控进程行为,能有效检测和发现无文件攻击行为,并能对攻击进行阻断。

二、红队武器top之内存破坏攻击:
内存破坏型漏洞产生于非预期的内存越界访问,攻击者利用0day漏洞或未修复漏洞进行内存篡改以避开传统安全解决方案,并在受害主机或终端上执行恶意代码。
高级的攻防对抗中,常见的隐蔽性高的攻击手段:

安芯网盾提供的内存破坏攻击防护方案:
面对以上这些隐蔽性高、破坏性强的内存破坏攻击,安芯网盾从以下四个方面出发:
1、监控内存中,是否写入恶意的shellcode;
2、内存区块是否被变更了读写执行权限;
3、相关操作系统的重要API是否遭受异常遍历;
4、敏感的、高危的操作系统API是否被调用;

通过一系列离散的监测点形成完整的监测链,通过行为判断,监控其在内存上的异常行为,进而精准捕获攻击者在内存破坏上的动作。

三、红队武器top之内存马攻击:
以Java tomcat为例,在tomcat环境中,业务流转的整个过程都会经过listener、fileter、serverlet三个组件,在网络攻击过程中,攻击者可以利用这三个组件对业务系统实施内存马攻击。

安芯网盾提供的内存马防护方案:
针对内存马攻击防护,安芯网盾采用rasp技术,rasp是在2014年被提出的一项技术,其理念是将安全防护代码注入到应用程序中,和正常业务代码融为一体,以一种“免疫”的方式来抵御外部的高级攻击。
安芯网盾内存马防护具有以下几个特点:
1、轻侵入模式无需重启:和传统RASP技术相比,采用轻侵入模式,业务无需重启,能够监测已加载的内存马。
2、行为分析引擎:采用行为分析引擎,对jvm内运转的相关程序执行动作均会进行标记,能够有效应对未知威胁。
3、不占用业务进程空间:传统RASP技术占用业务应用的jvm内存,存在影响业务系统运行的风险,安芯只在jvm中对程序执行动作进行标记,分析进程是在jvm之外的单独进程中分析,不占用正常业务进程的jvm空间。

作为有丰富的攻防实战经验的安全厂商,安芯网盾在攻防演练中,将为客户提供“产品+服务”的创新安全方案,另外,通过总结各类客户的服务经验,已形成了一套精准、高效的攻防演练防护模式。在攻防演练中,通过专家团队与规范化服务流程保证服务的全面性、专业性、高效性。


[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课

收藏
免费 1
支持
分享
最新回复 (1)
雪    币: 21
活跃值: (26)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
2
2022-6-13 21:14
0
游客
登录 | 注册 方可回帖
返回
//