內存保護技術到底有多能打？

安芯網盾

+ 關注

2021-11-18 17:03

1072次閱讀

高級威脅這個概念由來已久，但是大家對其的理解不甚相同；而且，某些行業調研機構針對此概念也進行了調研、闡釋，給出了一定的行業認知，幫助大家更好的理解了高級威脅。近期，針對新型高級威脅，我們也從不同的攻擊視角，一一為大家簡析了從攻、防視角如何解決此類威脅問題。

細心的讀者不難發現，文中多次提及“內存保護”，且都以該視角對高級威脅進行檢測、防御，以底層的硬件虛擬化技術角度為大家剖析了如何解決此類安全威脅。那么，高級威脅到底有何魅力，讓小編多次提及？基于此，小編本文為大家介紹內存保護的獨特魅力到底在何處？解決高級威脅的內存保護技術到底有多能打？

“核心工作負載保護策略”的關鍵技術

Gartner作為全球最具權威的IT研究與顧問咨詢公司，其出品的行業報告一直被眾人做為新風向的引擎，為決策、判斷提供了諸多的參考依據。

而Gartner發布的《云工作負載安全防護平臺市場指南（Market Guide for Cloud Workload Protection Platforms）》中將內存保護列為核心工作負載保護策略的關鍵技術，報告中指出，在基于風險的工作負載保護控制層次中，利用預防/內存保護是核心工作負載保護策略:

這是一種強制性的功能，以防止可信應用程序中的漏洞受到攻擊，以及操作系統處于企業控制之下(對于無服務器的情況，要求云提供商的底層操作系統受到保護)。注入的代碼可以隱蔽地從內存中運行，而不是作為一個單獨執行和可控的進程(被稱為“無文件惡意軟件”，例如很多情況下以可信進程下的線程形式存在)。此外，利用預防和內存保護解決方案可以提供廣泛的攻擊保護，而不需要傳統的基于簽名等文件特征的反病毒解決方案。當補丁不可用時，它們也可以用作緩解控制。一些CWPP提到的產品使用的另一種強大的內存保護方法稱為“移動目標防御”——隨機化操作系統內核、庫和應用程序，使每個系統的內存布局不同，以防止基于內存的攻擊。

因為在工作負載中運行的數據都需要經過內存進行存儲，所以通過對內存行為的監控可以識別無文件攻擊、內存webshell等基于文件監測無法識別的新型攻擊手段，這也是為何屢次被提及的原因。

“漏洞利用”的有利武器

在攻防對抗的江湖，風起云涌，從未停歇！只有不斷的豐富、創新自己的技術才能讓自己不會被打敗，占立先機、達到目的。

在MITRE曾經發布的一份25個最危險的軟件錯誤列表中，內存緩沖區溢出是組織面臨的最大威脅。該報告基于通用弱點枚舉(CWE)目錄，該目錄編譯并分類了開發人員和安全專業人員應該監控的軟件缺陷、錯誤和潛在攻擊。其獨特之處在于MITRE對這些風險進行了排名和加權，使用了基于NIST國家漏洞數據庫(NVD)和通用漏洞評分系統(CVSS)的評分算法，分析了超過25000個CVE。報告指出，最危險、最容易被利用的威脅是內存緩沖區錯誤，其次是跨站腳本(XSS)。

除了緩沖區溢出，包括0day漏洞、無文件攻擊、內存攻擊等新型高級威脅也都是比較復雜、多變、難以檢測防御的攻擊類型。看過前面文章的讀者會清楚，像EDR、WAF、HIPS等代表性的安全防護工具針對惡意代碼的檢測一般局限于文件靜態檢測、啟發式檢測、等技術，這些技術雖然對傳統威脅攻擊具有不錯的檢測、防御效果，但對0day漏洞、無文件攻擊這類新型威脅攻擊的檢測、防御效果并不理想，而此類攻擊手段正是最近幾年井噴式爆發的威脅攻擊手段。

而內存保護技術基于硬件虛擬化的內存虛擬化技術、指令集監控、進程行為檢測，從更底層的內存層構筑了安全防線，切實守護了服務器的數據資產安全，保障了業務的正常運行。內存保護，無疑是解決新型漏洞利用的終極武器。

“技術對比”彰顯對打實力

為了應對威脅攻擊，不得不研發設計部署N類安全產品，以期望從網絡層、終端、主機等不同的層次分別構筑安全防線，在守護服務器的安全之時，不得不提到WAF、EDR、HIPS的安全防護工具。

1、Web應用程序防火墻 (WAF) 部署在Web應用程序之前，通過檢查GET和POST請求，分析雙向Web (HTTP) 流量，實現檢測識別和阻止惡意攻擊的作用。WAF是一種反向代理，通過在Web應用程序前部署Web應用程序防火墻，實現基于簽名的惡意軟件保護，在Web應用程序和Internet之間建立了防御；應用程序防火墻通過靜態規則，過濾面向目標應用服務的惡意流量，使應用程序免受漏洞影響。

缺點：其基于流量分析，存在一定誤殺和一定繞過幾率！

而使用內存保護技術，基于CPU指令集的監控，進行細粒度跟蹤、監控系統的各類行為動作，這有利于在保證低誤報率的情況下，實時地在本地分析識別更多的威脅，當威脅出現時能第一時間告警響應。

2、EDR依賴于日志和流量，可以檢測已知威脅。因此，EDR可以識別已知落地到本地的webshell或其他惡意軟件。EDR解決方案在集中式數據庫中聚合端點事件數據。然后對這些數據進行分析和關聯，以發現可疑事件。可疑活動是通過與已知威脅簽名的匹配和行為與既定行為基線的比較相結合來檢測的。

缺點：無法防御未知威脅，在防護上存在滯后性。

而使用內存保護技術對內存中關鍵業務進行打點，并通過對業務的關聯分析，監控應用對業務相關內存數據的多讀、掛鉤、篡改等行為，確保用戶核心業務應用程序只按照預期方式運行，不會因為病毒竊取、漏洞觸發而遭受攻擊。而且，可以有效解決安全邊界消失、文件白名單等防護措施的不足，解決基于內存的攻擊行為。

3、HIPS是基于主機的入侵防御系統，在防病毒、反間諜軟件、補丁管理和防火墻配置之上提供了另一層保護，以防止計算機上的惡意活動。HIPS持續監控指定的進程、文件、應用程序和注冊表項，以防止未經授權的行為。與漏洞檢測和修復、間諜軟件檢測和刪除或防病毒掃描不同，HIPS保護不需要持續的文件更新（補丁文件、定義/模式文件或簽名數據庫文件）。主機入侵防御系統 (HIPS) 通過分析主機內發生的事件來監控單個主機的可疑活動。HIPS 解決方案從網絡層一直到應用層保護主機免受已知和未知的惡意攻擊。

缺點：具有滯后性，無法防止未知攻擊，且超級管理員可任意停止和卸載。

而使用內存保護技術能夠檢測應用執行中基于內存攻擊的異常行為，并能即時阻止。同時，基于虛擬化技術可以在內存級別監控應用程序進程，檢測應用內部行為異常，可以阻止未知攻擊、無文件攻擊，而不再關注系統是否打補丁。

“瞄準靶心”確保數據安全

企業的核心數據資產在服務器上，守護好服務器的數據安全則顯得至關重要。而且不管是《數據安全法》還是《關基條例》都對數據安全的重要性做了強調。與以往的數據加密、防篡改不同，內存保護技術以更核心的底層技術架構，在靶心處為服務器構建一道安全防線，防止威脅攻擊的發生，切實守護了數據資產安全。

1、內存保護基于硬件虛擬化技術，可以基于應用層、系統層、硬件層實現立體防護，可以在內存級別監控應用進程和指令，識別更多的應用行為，并將其實現可視化展示，使內存數據信息更直觀易于管理。

● 在硬件層，基于先進的硬件虛擬化技術，利用內存虛擬化實現對內存數據監控。

● 在系統層，也就是驅動層，通過CPU指令監控處理接口、內存監控處理接口，可對內存中異常行為進行檢測，當發現異常行為可對未知風險進行阻斷或上報數據。

● 在應用層，對受保護應用（例如Tomcat、Weblogic、Shrio等容器或者中間件）注入漏洞防護模塊，確保業務應用使用實時安全，同時在應用層安裝Agent，通過Agent可對系統及風險進行檢測、攔截并上報至管理中心。

2、采用更底層的信息采集方式，主動全面獲取網內各類主機服務器信息，構建全網基礎資產信息庫。通過資產基礎信息庫的構建，利用資產基礎信息的自動識別和人工確認辦法，例如操作系統版本、端口、進程、ip地址、組織等，建立資產檔案和網絡底圖，展現資產全局態勢。

3、通過監控內存惡意讀、寫、執行行為，監控內存中的堆噴射、堆棧溢出、內存數據覆蓋等行為，結合攔截模塊可以對漏洞進行有效防御。通過監控內存中“多讀”“掛鉤”“篡改”等行為可以有效保護內存數據。

不管是從“出身”，還是在攻防對抗亦或是解決數據安全問題上，內存保護都有自身的實力，真的很能打！

[免責聲明]