內存保護:超越終端安全的安全重點
攻擊者入侵終端的手段可謂層出不窮:社會工程、網絡釣魚、惡意軟件、零日漏洞、惡意廣告、勒索軟件,甚至最近的加密貨幣劫持行動也只是攻擊者花招多樣性與復雜性的少數例子。不過,雖然表面上看這些攻擊可謂花團錦簇多姿多彩,其中一些卻有著類似的特征,依賴少數同樣的方法入侵終端和數據。比如說,零日漏洞就是很常見的入侵途徑。某種程度上,用以侵入系統的方法仍然保持了其歷史沿襲性,這有部分原因是由于,無論實際惡意軟件載荷或攻擊者的最終目標是什么,這些方法依然非常有效。
內存篡改是痛點
利用零日漏洞或未修復漏洞的內存篡改是攻擊者的首選武器,因為可以避開傳統的安全解決方案,在受害終端上執行惡意代碼。攻擊者一直以來都在使用這些漏洞侵害目標系統,或者通過網頁掛馬和惡意廣告,或者通過受感染的電子郵件附件。
漏洞有趣的地方在于,操作應用內存的時候,它們其實只使用少數幾種內存篡改技術,無論這些漏洞看起來有多復雜或多關鍵。但不幸的是,傳統安全解決方案往往缺乏保護終端內存空間的能力,僅重視保護存儲在磁盤上的文件。
該傳統安全解決方案的痛點意味著,黑客可以重復利用這些同樣的漏洞,頻繁投送各種攻擊載荷,直到其中之一繞過安全解決方案的審查。鑒于攻擊載荷從勒索軟件到鍵盤記錄器再到加密貨幣挖礦軟件都有,利用漏洞執行的內存篡改就特別有效了。
更糟的是,有些攻擊者還使用漏洞利用工具包,也就是流行應用已知漏洞利用程序的集合,比如Java、Adobe Reader、瀏覽器和操作系統的漏洞,來自動探測終端,查找已知脆弱軟件,投送惡意載荷。盡管某些廣為流傳的通用漏洞利用工具包,比如Angler和Rig,已經被司法部門封禁,網絡罪犯仍可依靠內存篡改漏洞作惡。
內存保護
一個很明顯的問題是:你怎么保護內存空間不受漏洞操縱?可以采用提供反漏洞利用功能的客戶機內置式下一代層次化安全解決方案。攻擊者常會利用面向返回編程(ROP)技術劫持程序控制流執行已有特定指令,反漏洞利用技術正是通過監測ROP,來封堵ROP鏈中的內存執行及其他漏洞利用中常用的堆棧操作技術。
然而,隨著虛擬化和云基礎設施的鋪開,同一主機/硬件上托管多臺客戶機或多個操作系統的現象越來越普遍。有些技術可以嵌入硬件層和操作系統層之間,在不影響性能的情況下保護所有客戶機的內存。
內存自省技術完全獨立于操作系統,能高效抵御漏洞相關的已知和未知內存篡改手法。由于其與操作系統完全隔離,也就完全不受客戶機內部威脅的侵擾——無論該威脅有多么高端,但同時還具有對每個虛擬工作負載內存的完整可見性。
利用裸機監管程序,內存自省技術可為虛擬基礎設施提供額外的安全層,防止黑客利用零日漏洞或未修復漏洞進行的攻擊。與關注實際攻擊載荷的傳統方法不同,內存自省技術專注于初始攻擊點。
舉個例子,如果攻擊者試圖利用 Adobe Reader 零日漏洞釋放加密貨幣挖礦軟件、勒索軟件或鍵盤記錄器,內存自省技術就會在攻擊者嘗試篡改內存以提權的時候就加以阻斷。這意味著該攻擊殺傷鏈會在任何攻擊載荷被釋放或對基礎設施的傷害造成前就被切斷。
超越終端的安全
無論是虛擬終端還是實體終端,都仍然在公司企業中扮演著舉足輕重的角色,安全團隊需全面照管到這些基礎設施,在不影響性能和業績的情況下保證它們的安全。軟件定義的數據中心、高度聚合的基礎設施,還有混合云環境,已經改變了公司運營的方式和范圍。但安全的重心還是放在了實際終端上,比如虛擬桌面基礎設施(VDI)和虛擬專用服務器(VPS)。
高級威脅往往會利用安全盲點,我們有必要重構安全解決方案,以適應企業在基礎設施、性能和擴展性上的新需求。操作系統內外的安全技術最好能盡量靠近虛擬機監管程序,這樣有利于防止用以投送高級持續性威脅或加密貨幣挖礦機和勒索軟件之類惡意威脅的內存篡改技術,還可避免遭受經濟和信譽上的損失。
【本文是51CTO專欄作者“”李少鵬“”的原創文章,轉載請通過安全牛(微信公眾號id:gooann-sectv)獲取授權】
