内存保护:超越终端安全的安全重点

攻击者入侵终端的手段可谓层出不穷:社会工程、网络钓鱼、恶意软件、零日漏洞、恶意广告、勒索软件,甚至最近的加密货币劫持行动也只是攻击者花招多样性与复杂性的少数例子。不过,虽然表面上看这些攻击可谓花团锦簇多姿多彩,其中一些却有着类似的特征,依赖少数同样的方法入侵终端和数据。比如说,零日漏洞就是很常见的入侵途径。某种程度上,用以侵入系统的方法仍然保持了其历史沿袭性,这有部分原因是由于,无论实际恶意软件载荷或攻击者的最终目标是什么,这些方法依然非常有效。

QQ截图20180727104530

内存篡改是痛点

利用零日漏洞或未修复漏洞的内存篡改是攻击者的首选武器,因为可以避开传统的安全解决方案,在受害终端上执行恶意代码。攻击者一直以来都在使用这些漏洞侵害目标系统,或者通过网页挂马和恶意广告,或者通过受感染的电子邮件附件。

漏洞有趣的地方在于,操作应用内存的时候,它们其实只使用少数几种内存篡改技术,无论这些漏洞看起来有多复杂或多关键。但不幸的是,传统安全解决方案往往缺乏保护终端内存空间的能力,仅重视保护存储在磁盘上的文件。

该传统安全解决方案的痛点意味着,黑客可以重复利用这些同样的漏洞,频繁投送各种攻击载荷,直到其中之一绕过安全解决方案的审查。鉴于攻击载荷从勒索软件到键盘记录器再到加密货币挖矿软件都有,利用漏洞执行的内存篡改就特别有效了。

更糟的是,有些攻击者还使用漏洞利用工具包,也就是流行应用已知漏洞利用程序的集合,比如Java、Adobe Reader、浏览器和操作系统的漏洞,来自动探测终端,查找已知脆弱软件,投送恶意载荷。尽管某些广为流传的通用漏洞利用工具包,比如Angler和Rig,已经被司法部门封禁,网络罪犯仍可依靠内存篡改漏洞作恶。

内存保护

一个很明显的问题是:你怎么保护内存空间不受漏洞操纵?可以采用提供反漏洞利用功能的客户机内置式下一代层次化安全解决方案。攻击者常会利用面向返回编程(ROP)技术劫持程序控制流执行已有特定指令,反漏洞利用技术正是通过监测ROP,来封堵ROP链中的内存执行及其他漏洞利用中常用的堆栈操作技术。

然而,随着虚拟化和云基础设施的铺开,同一主机/硬件上托管多台客户机或多个操作系统的现象越来越普遍。有些技术可以嵌入硬件层和操作系统层之间,在不影响性能的情况下保护所有客户机的内存。

内存自省技术完全独立于操作系统,能高效抵御漏洞相关的已知和未知内存篡改手法。由于其与操作系统完全隔离,也就完全不受客户机内部威胁的侵扰——无论该威胁有多么高端,但同时还具有对每个虚拟工作负载内存的完整可见性。

利用裸机监管程序,内存自省技术可为虚拟基础设施提供额外的安全层,防止黑客利用零日漏洞或未修复漏洞进行的攻击。与关注实际攻击载荷的传统方法不同,内存自省技术专注于初始攻击点。

举个例子,如果攻击者试图利用 Adobe Reader 零日漏洞释放加密货币挖矿软件、勒索软件或键盘记录器,内存自省技术就会在攻击者尝试篡改内存以提权的时候就加以阻断。这意味着该攻击杀伤链会在任何攻击载荷被释放或对基础设施的伤害造成前就被切断。

超越终端的安全

无论是虚拟终端还是实体终端,都仍然在公司企业中扮演着举足轻重的角色,安全团队需全面照管到这些基础设施,在不影响性能和业绩的情况下保证它们的安全。软件定义的数据中心、高度聚合的基础设施,还有混合云环境,已经改变了公司运营的方式和范围。但安全的重心还是放在了实际终端上,比如虚拟桌面基础设施(VDI)和虚拟专用服务器(VPS)。

高级威胁往往会利用安全盲点,我们有必要重构安全解决方案,以适应企业在基础设施、性能和扩展性上的新需求。操作系统内外的安全技术最好能尽量靠近虚拟机监管程序,这样有利于防止用以投送高级持续性威胁或加密货币挖矿机和勒索软件之类恶意威胁的内存篡改技术,还可避免遭受经济和信誉上的损失。

上一篇:三大要素+六个魔法 = 数据中心安全

下一篇:幽灵再现:谁也无法阻挡Spectre漏洞了