内存保护技术到底有多能打？

安芯网盾

+ 关注

2021-11-18 17:03

903次阅读

高级威胁这个概念由来已久，但是大家对其的理解不甚相同；而且，某些行业调研机构针对此概念也进行了调研、阐释，给出了一定的行业认知，帮助大家更好的理解了高级威胁。近期，针对新型高级威胁，我们也从不同的攻击视角，一一为大家简析了从攻、防视角如何解决此类威胁问题。

细心的读者不难发现，文中多次提及“内存保护”，且都以该视角对高级威胁进行检测、防御，以底层的硬件虚拟化技术角度为大家剖析了如何解决此类安全威胁。那么，高级威胁到底有何魅力，让小编多次提及？基于此，小编本文为大家介绍内存保护的独特魅力到底在何处？解决高级威胁的内存保护技术到底有多能打？

“核心工作负载保护策略”的关键技术

Gartner作为全球最具权威的IT研究与顾问咨询公司，其出品的行业报告一直被众人做为新风向的引擎，为决策、判断提供了诸多的参考依据。

而Gartner发布的《云工作负载安全防护平台市场指南（Market Guide for Cloud Workload Protection Platforms）》中将内存保护列为核心工作负载保护策略的关键技术，报告中指出，在基于风险的工作负载保护控制层次中，利用预防/内存保护是核心工作负载保护策略:

这是一种强制性的功能，以防止可信应用程序中的漏洞受到攻击，以及操作系统处于企业控制之下(对于无服务器的情况，要求云提供商的底层操作系统受到保护)。注入的代码可以隐蔽地从内存中运行，而不是作为一个单独执行和可控的进程(被称为“无文件恶意软件”，例如很多情况下以可信进程下的线程形式存在)。此外，利用预防和内存保护解决方案可以提供广泛的攻击保护，而不需要传统的基于签名等文件特征的反病毒解决方案。当补丁不可用时，它们也可以用作缓解控制。一些CWPP提到的产品使用的另一种强大的内存保护方法称为“移动目标防御”——随机化操作系统内核、库和应用程序，使每个系统的内存布局不同，以防止基于内存的攻击。

因为在工作负载中运行的数据都需要经过内存进行存储，所以通过对内存行为的监控可以识别无文件攻击、内存webshell等基于文件监测无法识别的新型攻击手段，这也是为何屡次被提及的原因。

“漏洞利用”的有利武器

在攻防对抗的江湖，风起云涌，从未停歇！只有不断的丰富、创新自己的技术才能让自己不会被打败，占立先机、达到目的。

在MITRE曾经发布的一份25个最危险的软件错误列表中，内存缓冲区溢出是组织面临的最大威胁。该报告基于通用弱点枚举(CWE)目录，该目录编译并分类了开发人员和安全专业人员应该监控的软件缺陷、错误和潜在攻击。其独特之处在于MITRE对这些风险进行了排名和加权，使用了基于NIST国家漏洞数据库(NVD)和通用漏洞评分系统(CVSS)的评分算法，分析了超过25000个CVE。报告指出，最危险、最容易被利用的威胁是内存缓冲区错误，其次是跨站脚本(XSS)。

除了缓冲区溢出，包括0day漏洞、无文件攻击、内存攻击等新型高级威胁也都是比较复杂、多变、难以检测防御的攻击类型。看过前面文章的读者会清楚，像EDR、WAF、HIPS等代表性的安全防护工具针对恶意代码的检测一般局限于文件静态检测、启发式检测、等技术，这些技术虽然对传统威胁攻击具有不错的检测、防御效果，但对0day漏洞、无文件攻击这类新型威胁攻击的检测、防御效果并不理想，而此类攻击手段正是最近几年井喷式爆发的威胁攻击手段。

而内存保护技术基于硬件虚拟化的内存虚拟化技术、指令集监控、进程行为检测，从更底层的内存层构筑了安全防线，切实守护了服务器的数据资产安全，保障了业务的正常运行。内存保护，无疑是解决新型漏洞利用的终极武器。

“技术对比”彰显对打实力

为了应对威胁攻击，不得不研发设计部署N类安全产品，以期望从网络层、终端、主机等不同的层次分别构筑安全防线，在守护服务器的安全之时，不得不提到WAF、EDR、HIPS的安全防护工具。

1、Web应用程序防火墙 (WAF) 部署在Web应用程序之前，通过检查GET和POST请求，分析双向Web (HTTP) 流量，实现检测识别和阻止恶意攻击的作用。WAF是一种反向代理，通过在Web应用程序前部署Web应用程序防火墙，实现基于签名的恶意软件保护，在Web应用程序和Internet之间建立了防御；应用程序防火墙通过静态规则，过滤面向目标应用服务的恶意流量，使应用程序免受漏洞影响。

缺点：其基于流量分析，存在一定误杀和一定绕过几率！

而使用内存保护技术，基于CPU指令集的监控，进行细粒度跟踪、监控系统的各类行为动作，这有利于在保证低误报率的情况下，实时地在本地分析识别更多的威胁，当威胁出现时能第一时间告警响应。

2、EDR依赖于日志和流量，可以检测已知威胁。因此，EDR可以识别已知落地到本地的webshell或其他恶意软件。EDR解决方案在集中式数据库中聚合端点事件数据。然后对这些数据进行分析和关联，以发现可疑事件。可疑活动是通过与已知威胁签名的匹配和行为与既定行为基线的比较相结合来检测的。

缺点：无法防御未知威胁，在防护上存在滞后性。

而使用内存保护技术对内存中关键业务进行打点，并通过对业务的关联分析，监控应用对业务相关内存数据的多读、挂钩、篡改等行为，确保用户核心业务应用程序只按照预期方式运行，不会因为病毒窃取、漏洞触发而遭受攻击。而且，可以有效解决安全边界消失、文件白名单等防护措施的不足，解决基于内存的攻击行为。

3、HIPS是基于主机的入侵防御系统，在防病毒、反间谍软件、补丁管理和防火墙配置之上提供了另一层保护，以防止计算机上的恶意活动。HIPS持续监控指定的进程、文件、应用程序和注册表项，以防止未经授权的行为。与漏洞检测和修复、间谍软件检测和删除或防病毒扫描不同，HIPS保护不需要持续的文件更新（补丁文件、定义/模式文件或签名数据库文件）。主机入侵防御系统 (HIPS) 通过分析主机内发生的事件来监控单个主机的可疑活动。HIPS 解决方案从网络层一直到应用层保护主机免受已知和未知的恶意攻击。

缺点：具有滞后性，无法防止未知攻击，且超级管理员可任意停止和卸载。

而使用内存保护技术能够检测应用执行中基于内存攻击的异常行为，并能即时阻止。同时，基于虚拟化技术可以在内存级别监控应用程序进程，检测应用内部行为异常，可以阻止未知攻击、无文件攻击，而不再关注系统是否打补丁。

“瞄准靶心”确保数据安全

企业的核心数据资产在服务器上，守护好服务器的数据安全则显得至关重要。而且不管是《数据安全法》还是《关基条例》都对数据安全的重要性做了强调。与以往的数据加密、防篡改不同，内存保护技术以更核心的底层技术架构，在靶心处为服务器构建一道安全防线，防止威胁攻击的发生，切实守护了数据资产安全。

1、内存保护基于硬件虚拟化技术，可以基于应用层、系统层、硬件层实现立体防护，可以在内存级别监控应用进程和指令，识别更多的应用行为，并将其实现可视化展示，使内存数据信息更直观易于管理。

● 在硬件层，基于先进的硬件虚拟化技术，利用内存虚拟化实现对内存数据监控。

● 在系统层，也就是驱动层，通过CPU指令监控处理接口、内存监控处理接口，可对内存中异常行为进行检测，当发现异常行为可对未知风险进行阻断或上报数据。

● 在应用层，对受保护应用（例如Tomcat、Weblogic、Shrio等容器或者中间件）注入漏洞防护模块，确保业务应用使用实时安全，同时在应用层安装Agent，通过Agent可对系统及风险进行检测、拦截并上报至管理中心。

2、采用更底层的信息采集方式，主动全面获取网内各类主机服务器信息，构建全网基础资产信息库。通过资产基础信息库的构建，利用资产基础信息的自动识别和人工确认办法，例如操作系统版本、端口、进程、ip地址、组织等，建立资产档案和网络底图，展现资产全局态势。

3、通过监控内存恶意读、写、执行行为，监控内存中的堆喷射、堆栈溢出、内存数据覆盖等行为，结合拦截模块可以对漏洞进行有效防御。通过监控内存中“多读”“挂钩”“篡改”等行为可以有效保护内存数据。

不管是从“出身”，还是在攻防对抗亦或是解决数据安全问题上，内存保护都有自身的实力，真的很能打！

[免责声明]