安芯網(wǎng)盾基于銀河麒麟操作系統(tǒng)的高級(jí)威脅防護(hù)解決方案
方案背景
Programme background
當(dāng)前�����,基于流量分析��、日志檢測(cè)和靜態(tài)特征檢測(cè)等傳統(tǒng)分析技術(shù)的防護(hù)類(lèi)產(chǎn)品對(duì)已知攻擊具有較好的處理能力����,但如無(wú)文件攻擊、漏洞利用攻擊��、APT攻擊等新型攻擊手段具有很強(qiáng)的隱身效果���,能夠繞過(guò)傳統(tǒng)安全檢測(cè)�,既無(wú)法檢測(cè)更無(wú)法防護(hù)����,只能通過(guò)后續(xù)更新升級(jí)或者事后應(yīng)急處置來(lái)解決。 因此更有效的檢測(cè)防護(hù)高級(jí)威脅攻擊迫在眉睫��,而基于內(nèi)存保護(hù)的檢測(cè)方案可以較好的解決這個(gè)困擾��。
方案概述
Overview of the solution
在馮·諾伊曼體系結(jié)構(gòu)中�,任何數(shù)據(jù)都需要經(jīng)過(guò) CPU 進(jìn)行運(yùn)算����、都需要經(jīng)過(guò)內(nèi)存進(jìn)行存儲(chǔ),理論上基于CPU指令集和內(nèi)存這一層面采取技術(shù)手段,可以有效防護(hù)所有威脅��。解決方案基于銀河麒麟高級(jí)服務(wù)器操作系統(tǒng)V10��,在保證運(yùn)行環(huán)境安全��、穩(wěn)定���、高效����、靈活的基礎(chǔ)上���,打造了內(nèi)存保護(hù)系統(tǒng)�����,借助內(nèi)存保護(hù)技術(shù)把安全防護(hù)能力從應(yīng)用層��、系統(tǒng)層下沉到硬件層��,在程序運(yùn)行態(tài)著手解決威脅檢測(cè)和防護(hù)��。通過(guò)監(jiān)控內(nèi)存訪問(wèn)動(dòng)作和基于 CPU指令執(zhí)行的行為分析判斷內(nèi)存訪問(wèn)行為及程序運(yùn)行的合理性����,識(shí)別出異常訪問(wèn)或惡意代碼的攻擊行為,關(guān)閉惡意程序運(yùn)行阻斷攻擊者的進(jìn)一步入侵�,解決一系列未知威脅問(wèn)題。
技術(shù)路線
Technical route
方案架構(gòu)
Scheme architecture
方案優(yōu)勢(shì)
Solution advantage
全面兼容自主創(chuàng)新:基于銀河麒麟高級(jí)服務(wù)器操作系統(tǒng)V10,兼容國(guó)產(chǎn)CPU架構(gòu)��,為國(guó)產(chǎn)終端主機(jī)提供全面安全防護(hù)能力��。
主機(jī)立體防護(hù)能力:采取行為分析���、上下文關(guān)聯(lián)分析等技術(shù)�����,對(duì)異常內(nèi)存執(zhí)行動(dòng)作�、程序敏感行為動(dòng)作進(jìn)行監(jiān)控����,結(jié)合專家系統(tǒng)對(duì)敏感行為集進(jìn)行分析識(shí)別威脅。
防護(hù)未知威脅能力:從 CPU 和內(nèi)存層面出發(fā)���,通過(guò)行為分析的方式進(jìn)行攻擊檢測(cè)和防護(hù)���,針對(duì)未知威脅能達(dá)到和已知威脅同樣的防護(hù)能力。
應(yīng)用場(chǎng)景
Application scenarios
解決方案適用于政府��、金融�����、運(yùn)營(yíng)商��、教育�����、醫(yī)療�、互聯(lián)網(wǎng)及大型企業(yè)等行業(yè)客戶的服務(wù)器安全防護(hù)。為其構(gòu)建基于內(nèi)存保護(hù)的主機(jī)安全防護(hù)體系����,檢測(cè)并抵御 RCE 遠(yuǎn)程代碼執(zhí)行漏洞利用攻擊、ROP攻擊���、堆棧溢出攻擊�、內(nèi)存 webshell 攻擊�����、PTH 攻擊等高級(jí)威脅,提供全面溯源能力��,切實(shí)有效保障用戶核心業(yè)務(wù)的連續(xù)性�,保護(hù)用戶核心數(shù)據(jù)的安全性。
成功案例
Success case
案例名稱:某部委內(nèi)存安全防護(hù)系統(tǒng)建設(shè)
建設(shè)內(nèi)容:客戶已部署流量����、服務(wù)器主機(jī)安全等多款安全軟件,主動(dòng)防御能力不足��,通過(guò)采用本解決方案建設(shè)內(nèi)存安全防護(hù)體系��,增加業(yè)務(wù)系統(tǒng)服務(wù)器安全性和HW防御能力��。
案例價(jià)值:為現(xiàn)有的安全防護(hù)措施提供有效補(bǔ)充�����,提高網(wǎng)絡(luò)安全防護(hù)水平���。面對(duì)HW期間原有主機(jī)監(jiān)控系統(tǒng)被攻陷�����,惡意樣本下發(fā)至被監(jiān)控主機(jī)進(jìn)行ROP內(nèi)存攻擊時(shí)�����,成功觸發(fā)內(nèi)存防護(hù)機(jī)制���,并實(shí)時(shí)攔截攻擊行為,上報(bào)安全事件��。
案例名稱:某大型國(guó)企內(nèi)存安全防護(hù)系統(tǒng)建設(shè)
建設(shè)內(nèi)容:為滿足某大型國(guó)企安全對(duì)抗常態(tài)化中對(duì)于安全防護(hù)的要求��,采用本解決方案為核心業(yè)務(wù)系統(tǒng)防護(hù)部署內(nèi)存安全防護(hù)系統(tǒng)�。
案例價(jià)值:幫助客戶補(bǔ)足無(wú)文件攻擊、未知威脅攻擊能力�。在防護(hù)值守期間,多次成功發(fā)現(xiàn)新型內(nèi)存馬攻擊和可以惡意代碼上傳等事件����,這些攻擊可注入多種bytecode和payload,極容易繞過(guò)WAF等安全產(chǎn)品檢測(cè)�����,攻擊過(guò)程惡意文件不落����,隱蔽性高�����,所以進(jìn)攻期間暢通無(wú)阻��。防護(hù)系統(tǒng)在其拿到權(quán)限�����,攻擊到內(nèi)存階段�����,觸發(fā)攻擊行為鏈檢測(cè)機(jī)制�����,實(shí)現(xiàn)行為攔截�,風(fēng)險(xiǎn)預(yù)警���,最終未能形成安全事件����。
安全防護(hù)解決方案
