在企業網絡信息化建設中,經常會使用AD域(Active Directory Domain)來統一管理網絡中的PC終端。在AD域中,DC(域控制器)包含了由這個域的帳戶、密碼、屬於這個域的計算機等信息構成的資料庫。
在今年的大型攻防實戰演練中,我們發現使用AD域進行內部網絡管理的單位,攻擊方和防守方爭奪的核心焦點往往聚焦在DC上:對攻擊方來說,獲得了DC的控制權限即可宣告攻擊成功;對防守方來講,只要守護好DC,則內部網絡始終不會遭受到特別嚴重的損害。
從攻擊方的方法論來說,攻擊AD域常用的方法有PTH攻擊、黃金票據攻擊、白銀票據攻擊、lsass進程讀取明文密碼,以及最新的NetLogon特權提升漏洞攻擊等,攻擊者在對AD域進行攻擊時,通常以獲取DC的控制權限為目標。而大部分安全產品在面對這些攻擊時,無法進行有效的防護,難以在第一時間發現並阻斷這些攻擊。
企業AD域伺服器的攻擊事件層出不窮,一旦擁有域控管理權限的域控伺服器被攻破,所有加入域的終端和伺服器都將被控制,存在全網淪陷的可能。針對這種情況,安芯網盾首發最強域控伺服器解決方案,解決用戶在使用AD域進行內部網絡管理過程中所面臨的安全風險。
從國內大型實戰攻防演練的經驗來看,上述攻擊方法諸如PTH攻擊、黃金票據攻擊、白銀票據攻擊等所利用的手段基本是驗證協議在設計過程中的缺陷,傳統的防護手段應對這類攻擊非常困難,原因如下:
01
基於文件特徵碼方式的傳統防護手段主要針對各種病毒、木馬文件進行防護,而上述攻擊所使用到的文件均為系統正常文件,不會被文件特徵碼識別。
02
基於網絡流量的分析防護,同樣是基於對異常流量的識別和阻斷,而上述攻擊所觸發的流量均為系統正常流量,不會被識別為異常流量。
03
採用比較暴力的禁用埠、服務等方法杜絕風險,此種處置方式確實能夠防護系統免受威脅,但又過於一刀切,會影響正常業務的使用。
除了上述原因之外,域控環境同時還存在補丁修復限制及新漏洞的不斷產生從而引發新的風險。因此,傳統防護體系對AD域的全面防護存在缺陷,急需尋找全新的解決方案。
在AD域環境中會遇到各種各樣的攻擊,而傳統安全產品只在應用層或系統層進行防護,在面對新型威脅和內部威脅時,難以在第一時間發現並阻斷這些威脅。安芯網盾的內存保護系統使用創新的技術如硬體虛擬化技術、內存行為分析技術等,把安全產品的防護能力從應用層、系統層下沉到硬體虛擬化層,打造了三大能力模塊:
01
漏洞防禦
通過細粒度的監控內存讀、寫、執行行為,可實時檢測內存中存在的堆、棧代碼執行、內存數據覆蓋等異常行為,結合攔截模塊,可以高效防禦0day漏洞攻擊。
02
內存數據保護
系統運行或切換用戶時,內存中存有緩存數據,內存保護系統可以對特定進程進行防護,防止第三方工具讀取緩存數據。
03
威脅防禦
內存保護系統可以實時感知內存數據流動狀態、程序的具體行為動作並結合訪問行為,發現未知威脅。