背景描述
在企業網路資訊化建設中,經常會使用AD域(Active Directory Domain)來統一管理網路中的PC終端。在AD域中,DC(域控制器)包含了由這個域的賬戶、密碼、屬於這個域的計算機等資訊構成的資料庫。
在今年的大型攻防實戰演練中,我們發現使用AD域進行內部網路管理的單位,攻擊方和防守方爭奪的核心焦點往往聚焦在DC上:對攻擊方來說,獲得了DC的控制許可權即可宣告攻擊成功;對防守方來講,只要守護好DC,則內部網路始終不會遭受到特別嚴重的損害。
從攻擊方的方法論來說,攻擊AD域常用的方法有PTH攻擊、黃金票據攻擊、白銀票據攻擊、lsass程式讀取明文密碼,以及最新的NetLogon特權提升漏洞攻擊等,攻擊者在對AD域進行攻擊時,通常以獲取DC的控制許可權為目標。而大部分安全產品在面對這些攻擊時,無法進行有效的防護,難以在第一時間發現並阻斷這些攻擊。
企業AD域伺服器的攻擊事件層出不窮,一旦擁有域控管理許可權的域控伺服器被攻破,所有加入域的終端和伺服器都將被控制,存在全網淪陷的可能。針對這種情況,安芯網盾首發最強域控伺服器解決方案,解決使用者在使用AD域進行內部網路管理過程中所面臨的安全風險。
防護難點
從國內大型實戰攻防演練的經驗來看,上述攻擊方法諸如PTH攻擊、黃金票據攻擊、白銀票據攻擊等所利用的手段基本是驗證協議在設計過程中的缺陷,傳統的防護手段應對這類攻擊非常困難,原因如下:
1、基於檔案特徵碼方式的傳統防護手段主要針對各種病毒、木馬檔案進行防護,而上述攻擊所使用到的檔案均為系統正常檔案,不會被檔案特徵碼識別。
2、基於網路流量的分析防護,同樣是基於對異常流量的識別和阻斷,而上述攻擊所觸發的流量均為系統正常流量,不會被識別為異常流量。
3、採用比較暴力的禁用埠、服務等方法杜絕風險,此種處置方式確實能夠防護系統免受威脅,但又過於一刀切,會影響正常業務的使用。
除了上述原因之外,域控環境同時還存在補丁修復限制及新漏洞的不斷產生從而引發新的風險。因此,傳統防護體系對AD域的全面防護存在缺陷,急需尋找全新的解決方案。
解決方案
在AD域環境中會遇到各種各樣的攻擊,而傳統安全產品只在應用層或系統層進行防護,在面對新型威脅和內部威脅時,難以在第一時間發現並阻斷這些威脅。安芯網盾的記憶體保護系統使用創新的技術如硬體虛擬化技術、記憶體行為分析技術等,把安全產品的防護能力從應用層、系統層下沉到硬體虛擬化層,打造了三大能力模組:
01漏洞防禦
透過細粒度的監控記憶體讀、寫、執行行為,可實時檢測記憶體中存在的堆、棧程式碼執行、記憶體資料覆蓋等異常行為,結合攔截模組,可以高效防禦0day漏洞攻擊。
02記憶體資料保護
系統執行或切換使用者時,記憶體中存有快取資料,記憶體保護系統可以對特定程式進行防護,防止第三方工具讀取快取資料。
03威脅防禦
記憶體保護系統可以實時感知記憶體資料流動狀態、程式的具體行為動作並結合訪問行為,發現未知威脅。