近日,日本汽車製造商本田因網絡攻擊被迫暫時中止其在全球的一些業務,以控制網絡攻擊帶來的幹擾。該事件起因是本田的一臺內部伺服器受到Ekans勒索軟體攻擊,該勒索軟體擁有相對較新的攻擊模式,影響被攻擊方訪問計算機伺服器,包括使用電子郵件以及使用內部系統的能力,本田客戶服務和金融服務也無法使用。
然而,這並不是本田第一次遭受黑客勒索攻擊,早在2017年,本田也遭遇了全球「WannaCry」勒索軟體攻擊。
2018年11月,在中國汽車工程學會年會暨展覽會上,本田技術研究所董事副社長三部敏宏曾分享了本田面向信息化社會的安全對策,我們也看到本田在網絡安全建設上面做了很多努力。
但是攻擊者總是狡猾的,他們採取了更「高明「的新型攻擊手段來發動攻擊。傳統的基於規則匹配模式的防護方案,能夠很好的防護已知威脅,但是在面對新型攻擊時幾乎沒有任何防禦能力。而企業的CIO/CSO們,也不得不一直尋找更為有效的安全防禦方案來應對日益複雜的安全威脅。
那麼,企事業單位在應對新型攻擊時,真的束手無策嗎?
新型攻擊趨勢:
基於內存的攻擊愈演愈烈
前不久Google 工程師統計了 2015 年以來,Chrome 穩定分支中修復級別為 "high" 或 "critical" 的 912 個安全錯誤,結果發現約 70% 是內存安全漏洞。我們選取了幾個近年來大家所熟悉的攻擊事件進行分析,如下表:
如下圖是無文件攻擊中攻擊者繞過傳統防線進行攻擊的路徑分析:
通過分析,不難發現隨著攻防對抗的發展,基於內存的攻擊越來越頻繁,我們所熟悉的心臟滴血、永恆之藍等大規模安全事件,就是內存安全漏洞引發,而攻擊者們採取諸如UAF、DoubleFree、堆棧溢出等內存破壞類型漏洞對伺服器進行攻擊。
儘管企業部署了大量的安全防護產品(UTM、ADS、IPS等),但攻擊者仍然能夠輕而易舉的突破層層防線,將他們的惡意代碼悄無聲息的植入伺服器內存當中。我們通過訪談總結出了企事業單位安全建設面臨的幾大痛點:
01高級威脅實時防禦難
常規的病毒檢測軟體通常基於規則匹配,某病毒出來之後會被做專門的識別和處理形成規則和策略,而對於沒有規則匹配的漏洞和威脅,也就是新型高級威脅,傳統的安全防禦規則幾乎沒有防禦能力。
02業務連續性問題
當前大部分企事業單位的運營高度依賴信息系統,然而在應對大範圍網絡攻擊、計算機病毒植入等技術儲備管理體系尚存在不足,容易引發像本田這樣業務連續性問題。
03內存破壞問題
內存中的數據被破壞,包括數據被覆蓋、篡改、竊取等情形,會觸發0day漏洞、無文件攻擊等高級威脅。
內存保護方案:
守護主機安全的最後一道安全防線
計算機體系結構決定了任何安全威脅都需要經過CPU進行運算,其數據都需要經過內存進行存儲,安芯網盾提出了一種全新的思路來幫助客戶應對日益增長的安全威脅,通過內存保護技術解決內存行為不可見問題,在應用層、系統層、硬體層實現立體防護,從最底層守住安全防線。
目前大多數的安全防護方案都是圍繞應用層或系統層,這可以防護大多數常見已知威脅。但由於傳統的安全軟體對運行中內存和系統的讀、寫、執行情況缺乏實時有效的監控手段,很難實現對高級威脅的實時檢測和防禦。
內存安全是系統安全的一個前提,內存保護方案基於內存訪問監控和CPU指令集監控,監控少數敏感而重要的CPU指令,通過對系統行為監控,基本可以監控系統所有的API調用(只要進內核就會被監控到,不進內核的API其實也幹不了什麼事情),還可以監控一些異常的內存數據流動,大量的行為數據可以極大的提高惡意代碼的檢出率,還能極大的規避誤報。安芯網盾內存安全防護方案幫助客戶解決:
01高級威脅檢測與防禦
通過細粒度的監控內存讀、寫、執行行為,可實時檢測內存中存在堆棧代碼執行、內存數據覆蓋等異常行為,結合攔截模塊幫助客戶實時檢測並防禦無文件攻擊、0day攻擊、側信道攻擊、ROP攻擊、DLL攻擊、緩衝區溢出攻擊、病毒木馬查殺等高級威脅。
02保護業務連續性
通過映射程序的合法執行路徑,實時檢測並阻止攻擊,確保核心業務應用程式只按照預期的方式運行,不會因病毒竊取、漏洞觸發而遭受攻擊,切實有效保護業務連續性。
03內存數據防竊取
通過對內存中關鍵業務進行打點,並通過對業務的關聯分析,監控應用對業務相關內存數據的多讀、掛鈎、篡改等行為,保護業務核心數據資產不被竊取。
總體來說,內存保護方案是對現有安全產品能力的補充,內存安全通過內存監控、程序行為監控、智能分析、系統安全增強和安全響應等模塊,可阻止異常內存訪問和惡意代碼執行等攻擊行為,為計算機系統構建一個完整的內存安全環境。
「亡羊補牢」式安全無法給用戶創造安全的環境,突破核心技術是解決網絡安全問題的關鍵。網絡安全從業者只有站在技術的制高點「未雨綢繆」,比攻擊者想的更遠更深,與攻擊者形成一個高低式的優勢,內存安全方案從安全的本質出發,以技術驅動為核心才能真正實現網絡安全。