近日,国内数字化产业第三方调研与咨询机构数世咨询正式发布了《主机检测与响应(HDR)能力指南》(以下简称“HDR报告”)。 在HDR指南中也对主机检测与响应做出了定义,指以主机侧为目标,同时具备主机、agent 探针、检测、响应以及管理平台等关键要素的产品才属于HDR。
HDR报告从市场情况、关键能力、发展趋势和应用案例多个角度出发,经过长达一年的调研分析,分析师在关键发现中提出HDR 关键四大能力agent、安全视角的资产发现、安全检测能力、安全响应能力。从发展趋势来看,HDR 的未来会呈现需求与投入双增长的态势,内存安全能力将成为标配。
图1 主机检测与响应能力点阵图(来源:HDR报告)
内存安全实时响应能力突出
该报告所提出的主要能力标准包括检出率与漏报率、MTTD 与 MTTR(平均检测时间与平均响应时间)等指标。检出率与误报率主要针对 HDR 类产品的威胁检测环节,重点考量对漏洞、木马、弱口令等潜在威胁的发现能力。MTTD 与 MTTR 主要衡量的是安全团队综合利用安全工具、产品、平台进行体系化威胁检测与事件响应的能力。报告认为,结合主机侧所属行业,区分红蓝对抗演练与实战等不同场景,在业务等安全之外的因素允许的情况下,通过内存实时防护阻断等较高可靠性的分析与判断能力,实现一定程度的自动化阻断。
图2 主机检测与响应能力标准(来源:HDR报告)
内存安全具备实战化能力
报告中提到,实战化攻防演练这几年带动了诸多安全需求,客观上也从实战化角度促进了各行业用户对主机安全需求的提升。业务上云与实战化攻防演练的双重背景下,大量的主机资产暴露在攻击者面前,成为潜在的攻击目标,若仍采用传统的内网防御方式是明显滞后不足的,因此,HDR 需要的不再是基于特征匹配的传统HIDS,主机侧的脆弱性检测、攻击入侵检测、内存安全等实战化能力,都成为近两年实战攻防演练中取得好成绩的必备技能。
内存安全是主机安全的最后一道防线
在报告关键能力中分析师指出,如果说主机安全是网络安全的最后一道防线,那么内存安全就是主机安全的最后一道防线。近两年在红蓝对抗攻防演练中,0day漏洞利用、内存马攻击、无文件攻击等高级威胁越来越多,HDR 能力企业先后开始在产品中加入内存安全能力。
图3 内存安全检测的重要性(来源:HDR报告)
此外,主机安全产品本身的安全性是一个必须要重视的能力点,分析师在调研过程中,数世咨询也看到有的能力企业通过 ORM 数据库框架、MVVM 前端框架、OSS 对象存储框架,从实现机制上避免SQL 注入 、 XSS、目录遍历、任意文件上传、下载等常见安全问题。安芯网盾内存保护系统在近几年的实网攻防演习活动中,帮助客户有效发现并防护类此类威胁。
安芯网盾作为内存安全的开拓者和领军者,提供主机安全防护新思路 ,安芯网盾通过在内存和CPU指令集这一层构建安全方案,借助内存保护技术从内存层、应用层和系统层实现安全防护能力,在程序运行态着手检测并防御威胁,形成有机结合的立体防护。内存保护系统对新型攻击进行实时检测及响应,可以帮助客户建立真正的程序运行时安全防护能力。
图4 内存保护系统应用场景
与传统的主机安全防护手段相比,基于内存安全的主机检测与响应方案具有以下价值:
一、打造主机立体防护理念:构建覆盖内核层、系统层和应用层有机结合的立体防护体系,通过对内存访问行为、程序运行行为进行细粒度的监控,检测异常行为,有效识别内存破坏攻击、内存马攻击等高级威胁,构建系统运行时安全防护。
二、有效防护未知威胁攻击:以内存保护技术为底座,以行为分析技术为核心理念,通过检测内存异常行为,结合攻击链检测与响应技术、混合感知技术,实现对已知威胁和未知威胁的无差别检测和防御能力,摆脱对特征签名、网络流量、系统日志等静态特征的重度依赖。
三、降低安全运维运营成本:基于系统底层技术能有效提升威胁检测精确度,降低误报率,同时,系统的拦截能力也显著提升威胁事件自动化响应和处置能力,促进安全运维敏捷化、自动化、智能化建设,降低安全运维运营成本,提升运维效率。
四、加快企业数字化转型进度:安芯神甲通过运行在系统底层和应用程序内部,获取详细的攻击行为信息,为开发人员提供更多的情报信息来改进代码,加快产品迭代效率,从而更好地推进用户单位数字化转型。
