难发现、难检测、难处理!内存攻击(ROP、堆栈属性攻击、缓冲区溢出、内存代码片段、傀儡进程等)、无文件攻击、0day漏洞利用等新型攻击方式,可以轻松绕过传统的安全检测机制,给现有的安全防护体系带来较大的安全挑战。
新型攻击手段的出现为不法分子提供了更多攻击的通道和漏洞,基于流量分析、日志检测和静态特征检测等传统分析技术的防护类产品已无法满足企业需求,更有效的高级威胁攻击检测防护迫在眉睫。安芯网盾携手麒麟软件共同打造高级威胁防护解决方案,基于银河麒麟高级服务器操作系统V10,在保证运行环境安全、稳定、高效、灵活的基础上,打造了内存保护系统,借助内存保护技术把安全防护能力从应用层、系统层下沉到硬件层,在程序运行态着手解决威胁检测和防护,先人一步,将安全威胁拒之门外。
方案通过监控内存访问动作和基于CPU指令执行的行为分析判断内存访问行为及程序运行的合理性,识别出异常访问或恶意代码的攻击行为,关闭恶意程序运行阻断攻击者的进一步入侵,解决一系列未知威胁问题,可为政府、金融、运营商、教育、医疗、互联网、大型企业等行业客户构建基于内存保护的服务器安全防护体系,检测高级威胁,提供全面溯源能力,切实有效保障用户核心业务的连续性和核心数据的安全性。
方案优势
• 全面兼容自主创新:基于银河麒麟高级服务器操作系统V10,兼容国产CPU架构,为国产终端主机提供全面安全防护能力。
• 主机立体防护能力:采取行为分析、上下文关联分析等技术,对异常内存执行动作、程序敏感行为动作进行监控,结合专家系统对敏感行为集进行分析,识别威胁。
• 防护未知威胁能力:从CPU和内存层面出发,通过行为分析的方式进行攻击检测和防护,针对未知威胁能达到和已知威胁同样的防护能力。
主动防御,提升部委用户业务系统安全性
在某部委内存安全防护系统建设项目中,通过采用本方案建设内存安全防护体系,提升主动防御能力,增加业务系统服务器安全性,为现有的安全防护措施提供了有效补充。在攻防测试期间,恶意样本下发至被监控主机进行ROP内存攻击时,成功触发内存防护机制,并实时拦截攻击行为,上报安全事件。
行为拦截,阻断大型国企新型木马攻击
为满足某大型国企安全防护要求,采用本方案为企业核心业务系统部署内存安全防护系统,帮助客户补足无文件攻击、未知威胁攻击的防护能力。在实际使用中,防护系统多次成功发现新型内存木马攻击和恶意代码上传等事件,防护系统在恶意代码内存攻击阶段成功触发攻击行为链检测机制,实现行为拦截,风险预警,最终未形成安全事件。
安芯网盾作为麒麟软件安全生态联盟成员之一,多年来与麒麟软件紧密合作,持续推动安全产品适配互认证及联合解决方案打造。未来,双方将继续加强在安全行业的深度合作,打造更安全、更稳定、更高效、更易用的国产化自主创新生态链,共同守护我国千行百业的数据安全。
伙伴介绍
安芯网盾作为内存安全开拓者和领军者,以“保护数字世界的安宁”为使命,致力于为政府、金融、运营商、能源、轨交、教育、医疗、互联网及大中型企业等行业客户提供新一代主机实时防护的相关产品和解决方案,帮助企业实时防御并终止无文件攻击、0day漏洞攻击、内存马攻击等高级威胁,实现对通用及国产化主机的全方位防护,有效保障用户的核心业务不被阻断,核心数据不被窃取,产品和解决方案深受客户与合作伙伴好评。
通讯员 | 东峰 刘俊杰
来 源 | 生态与技术服务中心
往期回顾
