近日,國內數字化產業第三方調研與諮詢機構數世諮詢正式釋出了《主機檢測與響應(HDR)能力指南》(以下簡稱“HDR報告”)。 在HDR指南中也對主機檢測與響應做出了定義,指以主機側為目標,同時具備主機、agent 探針、檢測、響應以及管理平臺等關鍵要素的產品才屬於HDR。
HDR報告從市場情況、關鍵能力、發展趨勢和應用案例多個角度出發,經過長達一年的調研分析,分析師在關鍵發現中提出HDR 關鍵四大能力agent、安全視角的資產發現、安全檢測能力、安全響應能力。從發展趨勢來看,HDR 的未來會呈現需求與投入雙增長的態勢,記憶體安全能力將成為標配。
圖1 主機檢測與響應能力點陣圖(來源:HDR報告)
記憶體安全實時響應能力突出
該報告所提出的主要能力標準包括檢出率與漏報率、MTTD 與 MTTR(平均檢測時間與平均響應時間)等指標。檢出率與誤報率主要針對 HDR 類產品的威脅檢測環節,重點考量對漏洞、木馬、弱口令等潛在威脅的發現能力。MTTD 與 MTTR 主要衡量的是安全團隊綜合利用安全工具、產品、平臺進行體系化威脅檢測與事件響應的能力。報告認為,結合主機側所屬行業,區分紅藍對抗演練與實戰等不同場景,在業務等安全之外的因素允許的情況下,透過記憶體實時防護阻斷等較高可靠性的分析與判斷能力,實現一定程度的自動化阻斷。
圖2 主機檢測與響應能力標準(來源:HDR報告)
記憶體安全具備實戰化能力
報告中提到,實戰化攻防演練這幾年帶動了諸多安全需求,客觀上也從實戰化角度促進了各行業使用者對主機安全需求的提升。業務上雲與實戰化攻防演練的雙重背景下,大量的主機資產暴露在攻擊者面前,成為潛在的攻擊目標,若仍採用傳統的內網防禦方式是明顯滯後不足的,因此,HDR 需要的不再是基於特徵匹配的傳統HIDS,主機側的脆弱性檢測、攻擊入侵檢測、記憶體安全等實戰化能力,都成為近兩年實戰攻防演練中取得好成績的必備技能。
記憶體安全是主機安全的最後一道防線
在報告關鍵能力中分析師指出,如果說主機安全是網路安全的最後一道防線,那麼記憶體安全就是主機安全的最後一道防線。近兩年在紅藍對抗攻防演練中,0day漏洞利用、記憶體馬攻擊、無檔案攻擊等高階威脅越來越多,HDR 能力企業先後開始在產品中加入記憶體安全能力。
圖3 記憶體安全檢測的重要性(來源:HDR報告)
此外,主機安全產品本身的安全性是一個必須要重視的能力點,分析師在調研過程中,數世諮詢也看到有的能力企業透過 ORM 資料庫框架、MVVM 前端框架、OSS 物件儲存框架,從實現機制上避免SQL 注入 、 XSS、目錄遍歷、任意檔案上傳、下載等常見安全問題。安芯網盾記憶體保護系統在近幾年的實網攻防演習活動中,幫助客戶有效發現並防護類此類威脅。
安芯網盾作為記憶體安全的開拓者和領軍者,提供主機安全防護新思路 ,安芯網盾透過在記憶體和CPU指令集這一層構建安全方案,藉助記憶體保護技術從記憶體層、應用層和系統層實現安全防護能力,在程式執行態著手檢測並防禦威脅,形成有機結合的立體防護。記憶體保護系統對新型攻擊進行實時檢測及響應,可以幫助客戶建立真正的程式執行時安全防護能力。
圖4 記憶體保護系統應用場景
與傳統的主機安全防護手段相比,基於記憶體安全的主機檢測與響應方案具有以下價值:
一、打造主機立體防護理念:構建覆蓋核心層、系統層和應用層有機結合的立體防護體系,透過對記憶體訪問行為、程式執行行為進行細粒度的監控,檢測異常行為,有效識別記憶體破壞攻擊、記憶體馬攻擊等高階威脅,構建系統執行時安全防護。
二、有效防護未知威脅攻擊:以記憶體保護技術為底座,以行為分析技術為核心理念,透過檢測記憶體異常行為,結合攻擊鏈檢測與響應技術、混合感知技術,實現對已知威脅和未知威脅的無差別檢測和防禦能力,擺脫對特徵簽名、網路流量、系統日誌等靜態特徵的重度依賴。
三、降低安全運維運營成本:基於系統底層技術能有效提升威脅檢測精確度,降低誤報率,同時,系統的攔截能力也顯著提升威脅事件自動化響應和處置能力,促進安全運維敏捷化、自動化、智慧化建設,降低安全運維運營成本,提升運維效率。
四、加快企業數字化轉型進度:安芯神甲透過執行在系統底層和應用程式內部,獲取詳細的攻擊行為資訊,為開發人員提供更多的情報資訊來改進程式碼,加快產品迭代效率,從而更好地推進使用者單位數字化轉型。