網絡攻擊逃逸技術的發展令新威脅十分難以偵測到。
最近的Duqu 2.0惡意軟件就是主要例子,該惡意軟件曾被用于入侵伊朗核問題六方會談、卡巴斯基實驗室和和某工控/數據采集與監控硬件廠商。為跟上惡意軟件的發展,一種采用異于傳統“入侵證據”方法的新型安全模型被提了出來。
此下一代終端保護(NGEPP)模型建立在6個核心支柱之上,若綜合使用,能在攻擊生命周期的每一個階段偵測到攻擊行為,哪怕是最高級攻擊的方法。
01.預防
NGEPP必須利用久經考驗的技術阻止已知威脅。先發制人的保護層可以在已知威脅在終端執行前就封殺它們。與以往只依賴于一家廠商的威脅情報的情況不同,如今已可以通過云服務聯合超過40家信譽良好的服務來主動封鎖威脅。這一方式還利用輕量級方法索引文件進行被動式掃描或選擇性掃描,取代極為占用資源的系統掃描。
02.動態漏洞利用檢測
用漏洞利用代碼攻破代碼級漏洞是攻擊者入侵系統并執行惡意程序的高級技術。偷渡式下載是實施漏洞利用攻擊的常用手段。NGEPP應提供反漏洞利用功能以防護基于應用程序和內存的攻擊。這一功能應通過檢測漏洞利用攻擊所用的真實技術來實現——如:堆噴射、棧扭轉(stack pivot)、面向返回編程(ROP)攻擊和內存權限修改——而非依賴于像溢出代碼掃描這樣的靜態方法。由于漏洞利用技術自身不像惡意軟件所用的溢出代碼、加密器、釋放器和載荷組件那么容易改變,檢測技術的方法會可靠得多。
03.動態惡意軟件檢測
檢測和封鎖零日漏洞攻擊及針對性攻擊是NGEPP的一個核心要求。這涉及到基于操作系統底層活動和操作對應用程序和進程行為的實時監視和分析,包括內存、磁盤、注冊表、網絡等等。因為很多攻擊掛鉤到系統進程和良性應用程序里來掩蓋他們的活動,能夠檢查到其執行并匯集出其真實運行環境就成為了關鍵。為使設備免遭各種各樣的攻擊侵害,這一檢測功能在設備上執行最為有效。比如說,即使一臺終端未接入網絡,也可以使它免遭記憶棒攻擊的毒手。
盡管很多廠商目前可以提供終端可見性,這是一個巨大的進步,但還是不能檢測沒有任何靜態入侵指征的零日攻擊。在處理真正的零日威脅時,是需要不依賴具體指征先備知識檢測攻擊的動態行為分析的。
04.損失減輕
威脅檢測是必要的,但還不足夠。減輕損失的能力必須成為NGEPP的一個必不可少的部分。損失減輕功能應該基于策略并足夠靈活,可以覆蓋范圍廣泛的用例,諸如隔離文件、殺死特定進程、斷開受感染主機與網絡的連接,或者甚至完全關停它。另外,損失減輕應該是自動化和及時的。在惡意軟件生命周期的初始階段快速減輕損失將最小化損害并快速修復。
05.修復
惡意軟件執行期間通常會創建、修改或刪除系統文件和注冊表設置,還會改變配置信息。這些殘留的修改會導致系統故障或不穩定。NGEPP必須能將終端恢復到被惡意軟件修改之前的可信狀態,并且記錄有哪些東西被修改了,又有哪些東西被成功修復了。
06.取證
鑒于沒有任何一種安全技術可以保證100%有效,提供終端實時取證和可見性就成為了NGEPP必須具備的能力。對整個組織中終端上發生的惡意行為清晰及時的可見性是快速評估攻擊范圍并采取適當響應的關鍵。這就要求能夠對攻擊中終端上發生的事情提供清楚的實時的審計跟蹤,以及能夠在所有終端上搜索入侵指征。
為達到完全替代現有傳統靜態終端防護技術保護能力的目的,NGEPP要能夠自行保護終端不受傳統和高級威脅在惡意軟件生命周期任何階段的危害。上面描述的六大支柱能提供終端已成為新安全邊界的云世代所要求的360度無死角防護。
原文地址http://www.aqniu.com/neo-points/10202.html
京公網安備 11010502049343號