下一代终端保护六大支柱

网络攻击逃逸技术的发展令新威胁十分难以侦测到。

最近的Duqu 2.0恶意软件就是主要例子,该恶意软件曾被用于入侵伊朗核问题六方会谈、卡巴斯基实验室和和某工控/数据采集与监控硬件厂商。为跟上恶意软件的发展,一种采用异于传统“入侵证据”方法的新型安全模型被提了出来。

[[149456]]

此下一代终端保护(NGEPP)模型建立在6个核心支柱之上,若综合使用,能在攻击生命周期的每一个阶段侦测到攻击行为,哪怕是最高级攻击的方法。

01.预防

NGEPP必须利用久经考验的技术阻止已知威胁。先发制人的保护层可以在已知威胁在终端执行前就封杀它们。与以往只依赖于一家厂商的威胁情报的情况不同,如今已可以通过云服务联合超过40家信誉良好的服务来主动封锁威胁。这一方式还利用轻量级方法索引文件进行被动式扫描或选择性扫描,取代极为占用资源的系统扫描。

02.动态漏洞利用检测

用漏洞利用代码攻破代码级漏洞是攻击者入侵系统并执行恶意程序的高级技术。偷渡式下载是实施漏洞利用攻击的常用手段。NGEPP应提供反漏洞利用功能以防护基于应用程序和内存的攻击。这一功能应通过检测漏洞利用攻击所用的真实技术来实现——如:堆喷射、栈扭转(stack pivot)、面向返回编程(ROP)攻击和内存权限修改——而非依赖于像溢出代码扫描这样的静态方法。由于漏洞利用技术自身不像恶意软件所用的溢出代码、加密器、释放器和载荷组件那么容易改变,检测技术的方法会可靠得多。

03.动态恶意软件检测

检测和封锁零日漏洞攻击及针对性攻击是NGEPP的一个核心要求。这涉及到基于操作系统底层活动和操作对应用程序和进程行为的实时监视和分析,包括内存、磁盘、注册表、网络等等。因为很多攻击挂钩到系统进程和良性应用程序里来掩盖他们的活动,能够检查到其执行并汇集出其真实运行环境就成为了关键。为使设备免遭各种各样的攻击侵害,这一检测功能在设备上执行最为有效。比如说,即使一台终端未接入网络,也可以使它免遭记忆棒攻击的毒手。

尽管很多厂商目前可以提供终端可见性,这是一个巨大的进步,但还是不能检测没有任何静态入侵指征的零日攻击。在处理真正的零日威胁时,是需要不依赖具体指征先备知识检测攻击的动态行为分析的。

04.损失减轻

威胁检测是必要的,但还不足够。减轻损失的能力必须成为NGEPP的一个必不可少的部分。损失减轻功能应该基于策略并足够灵活,可以覆盖范围广泛的用例,诸如隔离文件、杀死特定进程、断开受感染主机与网络的连接,或者甚至完全关停它。另外,损失减轻应该是自动化和及时的。在恶意软件生命周期的初始阶段快速减轻损失将最小化损害并快速修复。

05.修复

恶意软件执行期间通常会创建、修改或删除系统文件和注册表设置,还会改变配置信息。这些残留的修改会导致系统故障或不稳定。NGEPP必须能将终端恢复到被恶意软件修改之前的可信状态,并且记录有哪些东西被修改了,又有哪些东西被成功修复了。

06.取证

鉴于没有任何一种安全技术可以保证100%有效,提供终端实时取证和可见性就成为了NGEPP必须具备的能力。对整个组织中终端上发生的恶意行为清晰及时的可见性是快速评估攻击范围并采取适当响应的关键。这就要求能够对攻击中终端上发生的事情提供清楚的实时的审计跟踪,以及能够在所有终端上搜索入侵指征。

为达到完全替代现有传统静态终端防护技术保护能力的目的,NGEPP要能够自行保护终端不受传统和高级威胁在恶意软件生命周期任何阶段的危害。上面描述的六大支柱能提供终端已成为新安全边界的云世代所要求的360度无死角防护。

原文地址http://www.aqniu.com/neo-points/10202.html

文章来源网络,作者:管理,如若转载,请注明出处:https://shuyeidc.com/wp/152288.html<

(0)
管理的头像管理
上一篇2025-03-13 22:43
下一篇 2025-03-13 22:44

相关推荐

  • 云服务器和云虚拟主机怎么选?云服务器和虚拟主机区别

    云服务器适合业务增长快、需弹性扩展的场景,而云虚拟主机适合预算有限、技术门槛低的小型静态网站或测试环境,二者核心区别在于资源独享性与运维复杂度,核心差异解析:从底层架构到使用体验很多人容易混淆这两者,觉得它们都是“买空间建站”,它们的底层逻辑完全不同,云服务器(ECS)就像是你租了一整栋别墅,水电网络独立,你想……

    2026-06-29
    0
  • 赣州智慧旅游招聘是真的吗?赣州旅游人才招聘信息

    中级岗位(3-5年经验)月薪范围通常在6000-10000元,这类岗位需要独立负责项目模块,如独立运营一个抖音账号,或维护一个景区小程序的功能迭代,具备成功案例的候选人议价能力较强,高级岗位(5年以上经验)月薪范围通常在10000-20000元,部分核心管理岗可达更高,这类人才需要具备战略规划能力,如制定整个景……

    2026-06-29
    0
  • 赣州智能物联网车位锁如何管理?智能车位锁管理系统多少钱

    赣州智能物联网车位锁管理的核心在于通过云端平台实现远程控锁、状态实时监控及自动计费,彻底解决传统车位“被占难管”与“找位难”的痛点,在赣州这样的城市,随着机动车保有量的持续增长,老旧小区、商业综合体以及私人固定车位的资源矛盾日益凸显,传统的机械地锁或简易遥控锁,不仅操作繁琐,更无法实现数据化管理,引入智能物联网……

    2026-06-29
    0
  • 赣州智能消防栓好用吗,智能消防栓多少钱一个

    赣州智能消防栓通过物联网技术实现实时监测与远程报警,能显著降低火灾响应时间并提升城市消防安全管理水平,是目前智慧城市建设中不可或缺的基础设施,赣州智能消防栓的核心价值与应用场景传统消防栓往往存在“看不见、摸不着、用不了”的痛点,在赣州这样地形复杂、老城区与新城区并存的区域,传统设施的管理难度极大,智能消防栓的出……

    2026-06-29
    0
  • 云服务器和物理机到底有啥区别?

    云服务器本质上是虚拟化资源池中的弹性实例,而传统物理服务器是独占的硬件实体,前者胜在弹性与运维便捷,后者强在物理隔离与性能稳定,具体选择取决于业务对成本、扩展性及安全合规的权衡,很多人初次接触服务器时,容易把“云服务器”和“传统物理服务器”混为一谈,觉得它们都是用来跑网站或存数据的盒子,这两者的底层逻辑完全不同……

    2026-06-29
    0

发表回复

您的邮箱地址不会被公开。必填项已用 * 标注