下一代终端保护六大支柱

本文讲的是 下一代终端保护六大支柱,网络攻击逃逸技术的发展令新威胁十分难以侦测到。

最近的Duqu 2.0恶意软件就是主要例子,该恶意软件曾被用于入侵伊朗核问题六方会谈、卡巴斯基实验室和和某工控/数据采集与监控硬件厂商。为跟上恶意软件的发展,一种采用异于传统“入侵证据”方法的新型安全模型被提了出来。

此下一代终端保护(NGEPP)模型建立在6个核心支柱之上,若综合使用,能在攻击生命周期的每一个阶段侦测到攻击行为,哪怕是最高级攻击的方法。

01.预防
NGEPP必须利用久经考验的技术阻止已知威胁。先发制人的保护层可以在已知威胁在终端执行前就封杀它们。与以往只依赖于一家厂商的威胁情报的情况不同,如今已可以通过云服务联合超过40家信誉良好的服务来主动封锁威胁。这一方式还利用轻量级方法索引文件进行被动式扫描或选择性扫描,取代极为占用资源的系统扫描。

02.动态漏洞利用检测
用漏洞利用代码攻破代码级漏洞是攻击者入侵系统并执行恶意程序的高级技术。偷渡式下载是实施漏洞利用攻击的常用手段。NGEPP应提供反漏洞利用功能以防护基于应用程序和内存的攻击。这一功能应通过检测漏洞利用攻击所用的真实技术来实现——如:堆喷射、栈扭转(stack pivot)、面向返回编程(ROP)攻击和内存权限修改——而非依赖于像溢出代码扫描这样的静态方法。由于漏洞利用技术自身不像恶意软件所用的溢出代码、加密器、释放器和载荷组件那么容易改变,检测技术的方法会可靠得多。

03.动态恶意软件检测
检测和封锁零日漏洞攻击及针对性攻击是NGEPP的一个核心要求。这涉及到基于操作系统底层活动和操作对应用程序和进程行为的实时监视和分析,包括内存、磁盘、注册表、网络等等。因为很多攻击挂钩到系统进程和良性应用程序里来掩盖他们的活动,能够检查到其执行并汇集出其真实运行环境就成为了关键。为使设备免遭各种各样的攻击侵害,这一检测功能在设备上执行最为有效。比如说,即使一台终端未接入网络,也可以使它免遭记忆棒攻击的毒手。

尽管很多厂商目前可以提供终端可见性,这是一个巨大的进步,但还是不能检测没有任何静态入侵指征的零日攻击。在处理真正的零日威胁时,是需要不依赖具体指征先备知识检测攻击的动态行为分析的。

04.损失减轻
威胁检测是必要的,但还不足够。减轻损失的能力必须成为NGEPP的一个必不可少的部分。损失减轻功能应该基于策略并足够灵活,可以覆盖范围广泛的用例,诸如隔离文件、杀死特定进程、断开受感染主机与网络的连接,或者甚至完全关停它。另外,损失减轻应该是自动化和及时的。在恶意软件生命周期的初始阶段快速减轻损失将最小化损害并快速修复。

05.修复
恶意软件执行期间通常会创建、修改或删除系统文件和注册表设置,还会改变配置信息。这些残留的修改会导致系统故障或不稳定。NGEPP必须能将终端恢复到被恶意软件修改之前的可信状态,并且记录有哪些东西被修改了,又有哪些东西被成功修复了。

06.取证
鉴于没有任何一种安全技术可以保证100%有效,提供终端实时取证和可见性就成为了NGEPP必须具备的能力。对整个组织中终端上发生的恶意行为清晰及时的可见性是快速评估攻击范围并采取适当响应的关键。这就要求能够对攻击中终端上发生的事情提供清楚的实时的审计跟踪,以及能够在所有终端上搜索入侵指征。

为达到完全替代现有传统静态终端防护技术保护能力的目的,NGEPP要能够自行保护终端不受传统和高级威胁在恶意软件生命周期任何阶段的危害。上面描述的六大支柱能提供终端已成为新安全边界的云世代所要求的360度无死角防护。

时间: 2024-09-09 21:41:50

下一代终端保护六大支柱的相关文章

柳传志新生意:互联网农业成控股六大支柱之一

摘要: 11月18日,联想控股旗下的佳沃集团宣布进军葡萄酒产业.佳沃集团与法国Jean-Pierre Moueix集团.智利埃米利亚纳酒庄合作,佳沃集团提供中国销售渠道.原料(葡萄).品牌支撑,Jean-Pier 11月18日,联想控股旗下的佳沃集团宣布进军葡萄酒产业.佳沃集团与法国Jean-Pierre Moueix集团.智利埃米利亚纳酒庄合作,佳沃集团提供中国销售渠道.原料(葡萄).品牌支撑,Jean-Pierre Moueix,埃米利亚纳负责葡萄酒生产.双方共同整合全球资源,对接中国消费市

干货推荐 | Top 10高级终端保护工具

本文讲的是干货推荐 | Top 10高级终端保护工具, 基于传统反恶意软件工具的简单终端保护的日子已经一去不复返了!现在已经有高级终端检测和响应(EDR)工具来进行主动监控和终端保护.它们可以评估大型生态系统中的威胁,结合网络入侵检测的最佳面对每台计算机上的每个过程进行检测. 实现这一过程的要求很高,经过严格测试,我们推荐十款高级终端保护工具,希望大家能在它们的帮助下更加信心满满地应对种种潜在风险.但是没有任何产品是万能的,你还需要根据你已经安装的其他安全工具以及员工的技能水平进行合理选择.以下

下一代终端安全市场的趋势与分支

新的终端安全市场将继续保持高级防护和终端检测与响应的分支. 下一代终端安全到底是啥?网络安全专家仍旧对这个问题的答案感到十分迷惑.为了帮助理清头绪,全球顶尖分析公司ESG针对此领域进行了一项研究. ESG将下一代终端安全定义为: 终端安全软件控制,被设计为可防止.检测并响应之前未察觉到的漏洞利用行为和恶意软件. ESG在项目中采访了数十家机构,它们的业务均为补充或替代PC上的各种传统反病毒软件. 下一代终端安全市场似乎代表着供给与需求之间的断裂.比如,ESG发现,大约75-80%的企业正在购买新

谷歌总部改朝换代 六大支柱业务落地中国缩水

中介交易 SEO诊断 淘宝客 云主机 技术大厅 退出内地搜索市场的谷歌风波不断,继天涯.新浪弃用谷歌搜索.在华公司涉及4000万元税务违法事件后,连广受中国消费者追捧的谷歌地图也濒临"执照到期"的危险边缘. 另一边厢,谷歌总部正忙于改朝换代,新掌门人拉里·佩奇走马上任,旋风似的任命了6名高级副总裁,完成了对公司管理层的重组,构建了搜索.广告.Youtube和视频.移动.社交和Chrome六大支柱业务. 谷歌中国此时的迷茫混乱并不在佩奇的考虑范围之内.而在总部六大支柱业务中,目前谷歌中国

MySQL敏感数据安全保护六大措施

如果你目前用的数据库是MySQL,有很多简单的方法能够帮助你保护系统安全,并显著降低你的敏感数 据收到未授权访问的风险. 以技术为基础的企业里最有价值的资产通常是客户或者其数据库中的产品信息.因此,在这样的企业 中,保证数据库免受外界攻击并防止出现软件和硬件方面的故障是数据库管理的重要环节. 大多数情况下,硬件和软件故障都通过数据库备份方案进行处理.大部分数据库都配备有内置的工具 来自动执行整个过程,使得备份任务不需要花费很大力气,也不会出现什么差错.不过,数据安全问题解 决起来就不那么简单了.

隐私保护迫在眉睫 QQ手机管家创立六大标准

近日,一条有关丢失iPhone4s丢失的微博在网络上热转,一女生捡到iPhone4s手机之后,没有物归原主,反而兴致勃勃地玩起自拍,可没料到,此手机的icloud云服务功能,自动将照片同步到了云端的照片流里, 然后又同步给了失主. 于是,失主同时发现了此"捡拾者"用iPhone4s自拍的照片,并将照片上传到了网上.这个"微博事件"再次引发用户对智能手机隐私安全问题的思考:随着智能手机的用户越来越多,用户手机上的个人隐私内容也越来越多,包括私密短信.自拍照片.视频等等

终端安全战争:VirusTotal新规实际上是和平书?

本文讲的是终端安全战争:VirusTotal新规实际上是和平书?,2016年5月,VirusTotal(VT)修改了其规则.希望通过 VT API 接收杀毒结果的厂商,将被要求在公共VT接口中集成进自己的检测扫描器.而且,这些厂商还需要通过反恶意软件测试标准组织(AMTSO)的认证. 当时,这看起来像是第一代反恶意软件厂商策划的一场政变,AMTSO和VT自己想要将下一代终端安全产品隔绝在VT受益行列之外.不过,此后,至少4家下一代安全公司加入了AMTSO,同意遵守VT新规.更多公司有望跟进--这

Palo Alto Networks进一步强化下一代安全平台 推出全新威胁防御功能

下一代安全企业Palo Alto Networks近日宣布为其下一代安全平台增加全新功能,帮助企业用户扩展安全运行应用的能力,有效防御网络攻击.简化安全操作.从而更加安全的采用云技术. 网络攻击者经常使用其控制的计算资源.自动化工具和逃逸技术来实施大规模而低成本的复杂攻击.还在使用传统安全单点产品.人工调配资源和工具的网络安全团队,一直以来对这些已知和未知威胁的复杂性.速度和数量束手无策.那些传统工具已无法提供完整的应用程序可视性和控制能力,也不能自动地.及时地识别并阻止高级攻击.除此之外,传统

Cyphort的平台使高级威胁保护比以往更容易

先进的威胁防御平台3.3版本将多个安全层结合到了一个易于部署的封装打包中. 在过去的几个月里,我们一直在就各种最前沿的.能够抵御高级持续性威胁(advanced persistent threats ,APTs)的相关安全工具进行着讨论;这其中包括了从安全威胁情报(Threatintelligence)到虚拟沙盒再到特权身份管理的一切.尽管所有这些程序都相当强大,但当涉及到可用性和定制化方面的问题时,这些工具都有着不同程度的复杂性. 而由一家以软件方式解决APT问题的新兴创业安全公司Cyphor