下一代終端保護(hù)六大支柱
網(wǎng)絡(luò)攻擊逃逸技術(shù)的發(fā)展令新威脅十分難以偵測(cè)到。
最近的Duqu 2.0惡意軟件就是主要例子,該惡意軟件曾被用于入侵伊朗核問(wèn)題六方會(huì)談、卡巴斯基實(shí)驗(yàn)室和和某工控/數(shù)據(jù)采集與監(jiān)控硬件廠商。為跟上惡意軟件的發(fā)展,一種采用異于傳統(tǒng)“入侵證據(jù)”方法的新型安全模型被提了出來(lái)。
此下一代終端保護(hù)(NGEPP)模型建立在6個(gè)核心支柱之上,若綜合使用,能在攻擊生命周期的每一個(gè)階段偵測(cè)到攻擊行為,哪怕是最高級(jí)攻擊的方法。
01.預(yù)防
NGEPP必須利用久經(jīng)考驗(yàn)的技術(shù)阻止已知威脅。先發(fā)制人的保護(hù)層可以在已知威脅在終端執(zhí)行前就封殺它們。與以往只依賴于一家廠商的威脅情報(bào)的情況不同,如今已可以通過(guò)云服務(wù)聯(lián)合超過(guò)40家信譽(yù)良好的服務(wù)來(lái)主動(dòng)封鎖威脅。這一方式還利用輕量級(jí)方法索引文件進(jìn)行被動(dòng)式掃描或選擇性掃描,取代極為占用資源的系統(tǒng)掃描。
02.動(dòng)態(tài)漏洞利用檢測(cè)
用漏洞利用代碼攻破代碼級(jí)漏洞是攻擊者入侵系統(tǒng)并執(zhí)行惡意程序的高級(jí)技術(shù)。偷渡式下載是實(shí)施漏洞利用攻擊的常用手段。NGEPP應(yīng)提供反漏洞利用功能以防護(hù)基于應(yīng)用程序和內(nèi)存的攻擊。這一功能應(yīng)通過(guò)檢測(cè)漏洞利用攻擊所用的真實(shí)技術(shù)來(lái)實(shí)現(xiàn)——如:堆噴射、棧扭轉(zhuǎn)(stack pivot)、面向返回編程(ROP)攻擊和內(nèi)存權(quán)限修改——而非依賴于像溢出代碼掃描這樣的靜態(tài)方法。由于漏洞利用技術(shù)自身不像惡意軟件所用的溢出代碼、加密器、釋放器和載荷組件那么容易改變,檢測(cè)技術(shù)的方法會(huì)可靠得多。
03.動(dòng)態(tài)惡意軟件檢測(cè)
檢測(cè)和封鎖零日漏洞攻擊及針對(duì)性攻擊是NGEPP的一個(gè)核心要求。這涉及到基于操作系統(tǒng)底層活動(dòng)和操作對(duì)應(yīng)用程序和進(jìn)程行為的實(shí)時(shí)監(jiān)視和分析,包括內(nèi)存、磁盤(pán)、注冊(cè)表、網(wǎng)絡(luò)等等。因?yàn)楹芏喙魭煦^到系統(tǒng)進(jìn)程和良性應(yīng)用程序里來(lái)掩蓋他們的活動(dòng),能夠檢查到其執(zhí)行并匯集出其真實(shí)運(yùn)行環(huán)境就成為了關(guān)鍵。為使設(shè)備免遭各種各樣的攻擊侵害,這一檢測(cè)功能在設(shè)備上執(zhí)行最為有效。比如說(shuō),即使一臺(tái)終端未接入網(wǎng)絡(luò),也可以使它免遭記憶棒攻擊的毒手。
盡管很多廠商目前可以提供終端可見(jiàn)性,這是一個(gè)巨大的進(jìn)步,但還是不能檢測(cè)沒(méi)有任何靜態(tài)入侵指征的零日攻擊。在處理真正的零日威脅時(shí),是需要不依賴具體指征先備知識(shí)檢測(cè)攻擊的動(dòng)態(tài)行為分析的。
04.損失減輕
威脅檢測(cè)是必要的,但還不足夠。減輕損失的能力必須成為NGEPP的一個(gè)必不可少的部分。損失減輕功能應(yīng)該基于策略并足夠靈活,可以覆蓋范圍廣泛的用例,諸如隔離文件、殺死特定進(jìn)程、斷開(kāi)受感染主機(jī)與網(wǎng)絡(luò)的連接,或者甚至完全關(guān)停它。另外,損失減輕應(yīng)該是自動(dòng)化和及時(shí)的。在惡意軟件生命周期的初始階段快速減輕損失將最小化損害并快速修復(fù)。
05.修復(fù)
惡意軟件執(zhí)行期間通常會(huì)創(chuàng)建、修改或刪除系統(tǒng)文件和注冊(cè)表設(shè)置,還會(huì)改變配置信息。這些殘留的修改會(huì)導(dǎo)致系統(tǒng)故障或不穩(wěn)定。NGEPP必須能將終端恢復(fù)到被惡意軟件修改之前的可信狀態(tài),并且記錄有哪些東西被修改了,又有哪些東西被成功修復(fù)了。
06.取證
鑒于沒(méi)有任何一種安全技術(shù)可以保證100%有效,提供終端實(shí)時(shí)取證和可見(jiàn)性就成為了NGEPP必須具備的能力。對(duì)整個(gè)組織中終端上發(fā)生的惡意行為清晰及時(shí)的可見(jiàn)性是快速評(píng)估攻擊范圍并采取適當(dāng)響應(yīng)的關(guān)鍵。這就要求能夠?qū)糁薪K端上發(fā)生的事情提供清楚的實(shí)時(shí)的審計(jì)跟蹤,以及能夠在所有終端上搜索入侵指征。
為達(dá)到完全替代現(xiàn)有傳統(tǒng)靜態(tài)終端防護(hù)技術(shù)保護(hù)能力的目的,NGEPP要能夠自行保護(hù)終端不受傳統(tǒng)和高級(jí)威脅在惡意軟件生命周期任何階段的危害。上面描述的六大支柱能提供終端已成為新安全邊界的云世代所要求的360度無(wú)死角防護(hù)。
原文地址http://www.aqniu.com/neo-points/10202.html
