本文讲的是 下一代终端保护六大支柱,网络攻击逃逸技术的发展令新威胁十分难以侦测到。
最近的Duqu 2.0恶意软件就是主要例子,该恶意软件曾被用于入侵伊朗核问题六方会谈、卡巴斯基实验室和和某工控/数据采集与监控硬件厂商。为跟上恶意软件的发展,一种采用异于传统“入侵证据”方法的新型安全模型被提了出来。
此下一代终端保护(NGEPP)模型建立在6个核心支柱之上,若综合使用,能在攻击生命周期的每一个阶段侦测到攻击行为,哪怕是最高级攻击的方法。
01.预防
NGEPP必须利用久经考验的技术阻止已知威胁。先发制人的保护层可以在已知威胁在终端执行前就封杀它们。与以往只依赖于一家厂商的威胁情报的情况不同,如今已可以通过云服务联合超过40家信誉良好的服务来主动封锁威胁。这一方式还利用轻量级方法索引文件进行被动式扫描或选择性扫描,取代极为占用资源的系统扫描。
02.动态漏洞利用检测
用漏洞利用代码攻破代码级漏洞是攻击者入侵系统并执行恶意程序的高级技术。偷渡式下载是实施漏洞利用攻击的常用手段。NGEPP应提供反漏洞利用功能以防护基于应用程序和内存的攻击。这一功能应通过检测漏洞利用攻击所用的真实技术来实现——如:堆喷射、栈扭转(stack pivot)、面向返回编程(ROP)攻击和内存权限修改——而非依赖于像溢出代码扫描这样的静态方法。由于漏洞利用技术自身不像恶意软件所用的溢出代码、加密器、释放器和载荷组件那么容易改变,检测技术的方法会可靠得多。
03.动态恶意软件检测
检测和封锁零日漏洞攻击及针对性攻击是NGEPP的一个核心要求。这涉及到基于操作系统底层活动和操作对应用程序和进程行为的实时监视和分析,包括内存、磁盘、注册表、网络等等。因为很多攻击挂钩到系统进程和良性应用程序里来掩盖他们的活动,能够检查到其执行并汇集出其真实运行环境就成为了关键。为使设备免遭各种各样的攻击侵害,这一检测功能在设备上执行最为有效。比如说,即使一台终端未接入网络,也可以使它免遭记忆棒攻击的毒手。
尽管很多厂商目前可以提供终端可见性,这是一个巨大的进步,但还是不能检测没有任何静态入侵指征的零日攻击。在处理真正的零日威胁时,是需要不依赖具体指征先备知识检测攻击的动态行为分析的。
04.损失减轻
威胁检测是必要的,但还不足够。减轻损失的能力必须成为NGEPP的一个必不可少的部分。损失减轻功能应该基于策略并足够灵活,可以覆盖范围广泛的用例,诸如隔离文件、杀死特定进程、断开受感染主机与网络的连接,或者甚至完全关停它。另外,损失减轻应该是自动化和及时的。在恶意软件生命周期的初始阶段快速减轻损失将最小化损害并快速修复。
05.修复
恶意软件执行期间通常会创建、修改或删除系统文件和注册表设置,还会改变配置信息。这些残留的修改会导致系统故障或不稳定。NGEPP必须能将终端恢复到被恶意软件修改之前的可信状态,并且记录有哪些东西被修改了,又有哪些东西被成功修复了。
06.取证
鉴于没有任何一种安全技术可以保证100%有效,提供终端实时取证和可见性就成为了NGEPP必须具备的能力。对整个组织中终端上发生的恶意行为清晰及时的可见性是快速评估攻击范围并采取适当响应的关键。这就要求能够对攻击中终端上发生的事情提供清楚的实时的审计跟踪,以及能够在所有终端上搜索入侵指征。
为达到完全替代现有传统静态终端防护技术保护能力的目的,NGEPP要能够自行保护终端不受传统和高级威胁在恶意软件生命周期任何阶段的危害。上面描述的六大支柱能提供终端已成为新安全边界的云世代所要求的360度无死角防护。