[设为首页] [加入收藏]
您现在的位置:主页 > www.4112345.com >

椒图科技李栋:主机的未知安全威胁检测与防御

[时间:2019-09-11 14:38来源:未知作者:admin浏览:]

  近日,椒图科技副总裁李栋出席北京网络安全大会(BCS 2019),并发表主题演讲《主机的未知安全威胁检测与防御》。

  李栋指出,目前勒索病毒、一句线day、东西向移动等针对主机的恶意代码和黑客攻击日益增多,传统的防御手段依靠安全规则和设备堆叠,对于未知攻击和新型恶意代码缺乏防御能力。

  李栋以weblogic反序列化漏洞 (CNVD-C-2019-48814)为例,指出目前针对未知攻击的手段大多是牺牲业务保安全,在0day漏洞没有修复之前,客户多大只能暂停服务或者隔离主机,这都会导致业务的中断;即使有补丁可打,客户修复漏洞的平均时长也高达38天(据TCELL发布《2018年第二季度生产环境Web应用程序安全报告》统计),这都会给黑客创造足够的attack free空窗期,等到客户修复完漏洞,业务系统可能早已被黑客入侵。

  漏洞永远补不完,但黑客在入侵产生提权、进程自我复制、监听原始套接字、执行一句话木马、创建可执行文件、创建克隆账户等异常行为却有迹可循,在了解黑客入侵行为轨迹后,在系统和应用两个层面监控和拦截,用安全机制补充安全规则,以有限的行为防御无限的漏洞。

  通过构建内核探针对端口扫描、反连shell、进程自我复制、监听原始套接字等黑客在入侵产生的多种异常行为进行监控及防护,同时会对系统中的二进制文件创建、进程创建、进程外连、linuxshell操作命令等行为进行监控和防护,实现主机内核加固。

  从内核层实现应用权限控制,限制应用过高权限,防止提权、创建可执行文件等操作。

  工作于IIS、Apache、Nginx等web中间件内部,基于防护规则(数字签名)对WEB流量进行监控及过滤,具备所有硬件WAF的防护能力及功能。

  RASP探针工作于ASP、PHP、Java等脚本语言解释器内部,区别于传统WAF基于流量规则的防护方式,RASP探针是基于脚本行为(无规则)的方式进行漏洞攻击识别及防护,RASP探针会对WEB流量以及 文件操作及数据库操作等行为进行监控,在脚本解析、命令执行等关键点上进行监控和拦截,能有效防御SQL注入、任意命令执行、文件上传、任意文件读写、Weblogic反序列化、Struts2等基于传统签名方式无法有效防护的未知安全漏洞,是对传统WAF的有效补充。

  李栋指出,单台主机安全不等于业务系统安全,无论核心业务的安全防御能力有多强,在默认“内网相互信任”的前提下,只要业务系统中存在防护薄弱的主机,一样可以被攻击者利用东西向移动攻破。在现行的业务体系下,无需改变架构,通过流可视化、微隔离技术即可构建主机端的零信任安全模型。

  通过监控业务系统数据流并将其可视化,帮助安全运维人员实时准确把握业务系统内部网络信息流动情况。

  流可视化的功能可以识别到:业务资产可视化;业务资产间访问关系可视化;流量信息可视化;访问端口可视化以及访问数量可视化等。

  可以基于角色、标签定义主机、主机应用间的细粒度访问控制策略。比如在一个安全域内允许A类主机(如web服务器)去访问B类主机(如数据库),其他类型的主机去访问B类主机将被禁止;或者A类主机的web应用可以去访问B类主机的数据库应用,A类主机的其他应用访问B类主机的数据库应用将被禁止。

  解决主机非法外连问题,可以定义主机允许访问的特定的IP段、域名,不在规则外的访问将被禁止。

网站首页香港马会资料香港马会资料九五至尊香港马会资料九肖中特www.4112345.comwww.48l4.com