BCS 2021如何通过内存保护抑制安全防御体系熵增?
今日,2021年北京网络安全大会(BCS2021)正式拉开了帷幕。本次活动以“经营安全,安全经营”为主题,内容涉及政策形势、产业发展、前沿技术等多个方向,重点关注、探讨数字经济新环境下的网络安全发展之路。
图片
图1 安芯网盾CEO姜向前在“第五届网络安全产业担当与发展高峰论坛”中,安芯网盾CEO姜向前就《内存保护抑制安全防御体系熵增》做了精彩分享,与业界智囊、产业先锋一起探索产业模式,促进在信息技术应用创新领域的持续牵引,共谋发展。
安全的4大趋势
随着新技术的不断涌现,云业务应用的不断扩张,IT业务系统的复杂度越来越多样化。安芯网盾CEO姜向前表示,对于企业来讲,当服务器的数量不断增长、业务越复杂时,则会面临越来越多的安全挑战。同时,根据形式变化、趋势政策、业务驱动等不同因素,可以发现安全存在如下4点:
- 业务复杂度爆炸式增长带来的“安全新挑战”
- 数字化转型带来的“安全新需求”
- 攻击者跃迁式升级带来的“安全新威胁”
- 国际形势的变化带来的“安全新市场”
高级威胁的“熵增”
1854年,一位叫克劳修斯的德国人提出了熵增定律,自此该定律正式兴起。熵增定律是指在一个孤立的系统里,如果没有外力做功,其总混乱度(即熵)会不断增大。因为如果没有外力做功的情况下,熵增的过程是不可逆的,最终会达到熵最大的状态,系统会陷入混乱无序的状态。在信息安全中,熵增定律同样适用。
众所周知,传统安全防护手段、工具的不断完善,使得攻击者研发设计了更多新型的高级威胁,以躲避传统防护工具的防护,从而达到攻击目的。未知威胁、全新攻击手段的组合拳,使得网络安全变得更加复杂。以内存/无文件攻击、漏洞利用为代表的高级威胁,使得IT管理中面临的熵在不断增加。
造成熵增的原因包括:
1、漏洞爆发:系统不断出现的漏洞存在巨大隐患。
2、漏洞利用:漏洞利用攻击成为攻防致胜关键点。
图2 需要外力做功来抑制熵增
当外力(解决方案)没有对熵(高级威胁)做功的时候,熵值是不断增大的,从而使得整个系统越来越混乱、无序。诸如漏洞利用、网络入侵、木马后门、数据泄露等诸多安全威胁都会增大熵增。需要外力做功来抑制熵增,才能消除熵的增长。像身份认证、权限管理、病毒检测、访问控制等都可以做功,减少熵;内存安全无疑是实现熵减的最有利的外功。
内存保护实现“熵减”
计算机体系结构决定了任何安全威胁都需要经过CPU进行运算,其数据都需要经过内存进行存储。理论上基于CPU指令集这一层面实现的安全方案可以有效防御所有威胁。内存保护技术可以在硬件层透视各层数据,基于硬件层的安全技术实现全面防护。
安芯网盾采用内存保护技术,基于P2DR模型设计的智能内存保护系统,以策略为核心建立了四大高级威胁防御能力:
图3 高级威胁防护
漏洞的检测与防护:通过细粒度的监控内存访问行为,结合分析模块,可实时检测内存破坏型漏洞和逻辑型漏洞,并进行响应。
无文件攻击检测与防护:通过深入powershell、wmi、vba、vbs、js等脚本解释器内部,有效避开混淆加密干扰,详细监控被执行脚本的行为,精准识别攻击并进行拦截。同时,还能对内存代码片段、隐藏模块代码的执行行为进行识别并告警。
内存webshell防护:通过监控Java、PHP等解释器的动作,捕获脚本执行过程中的一些敏感动作,基于这些敏感动作判断是否为恶意威胁。
高级威胁溯源:内存保护系统在内存访问行为及系统行为监控层面具有天然优势,它能有效突破操作系统的限制,采集更全面的信息,基于这些信息形成强大的溯源分析能力。
图4 操作系统互认
而且,安芯网盾的智能内存保护系统可以与国产操作系统 & CPU架构互认,规避了兼容性等问题的发生,可以更好的将安全防护能力应用于众多的企事业单位中。通过内存保护的外功,作用于高级威胁带来的熵,起到了很好的熵减作用,让企业的防护能力更强。
未来,安芯网盾将基于内存保护技术,修炼安全能力的“功”,持续对于威胁的熵发起,从而更好的抑制安全防御体系熵增。