2019年主机的未知安全威胁检测与防御.pdf

《2019年主机的未知安全威胁检测与防御.pdf》由会员分享，可在线阅读，更多相关《2019年主机的未知安全威胁检测与防御.pdf（20页珍藏版）》请在三个皮匠报告上搜索。

1、主机的未知安全威胁检测与防御目录主机安全现状主机端的未知安全检测与防御技术内网主机的零信任安全模型目录严峻的网络安全形势勒索病毒一句话木马0DAY攻击针对主机的黑客攻击日益增多传统基于安全规则的防护手段效果有限依赖于安全规则，可以抵御已知攻击，但对未知威胁防护效果滞后，无法应对0DAY和新型恶意代码病毒库、规则库的堆集只会让系统变得愈发臃肿牺牲业务保安全？案例：WEBLOGIC 反序列化漏洞（CNVD-C-2019-48814）漏洞披露时间2019-04-17漏洞详情WebLogic Server提供异步通讯服务的wls9_async_response WAR包，在反序列化处理输入信息时存在缺

2、陷，攻击者可以通过恶意 HTTP 请求，获得目标服务器权限，在未授权的情况下远程执行命令，漏洞评级为高危。漏洞披露方处理方案1、删除该WAR包并重启webLogic；2、通过访问策略控制禁止/_async/*路径的URL访问。处理方式分析牺牲业务保安全，通过删除WAR包的方式不但会导致部分服务失效而且治标不治本。有补丁安全案例：STRUTS2 漏洞CVE编号CVE-2017-56383月7日漏洞爆出，厂商当那天给出修复方案，但截止3月9日，仍有部分用户没有检测或者修复漏洞。根据TCELL发布2018年第二季度生产环境Web应用程序安全报告，漏洞修复平均时长为38天！给攻击者留下足够的attac

3、k free时间窗如何在主机端检测与防御未知安全威胁漏洞永远补不完，但黑客入侵服务器后的行为却有迹可循黑客在入侵产生的多种异常行为：提权、端口扫描、反连shell、进程自我复制、监听原始套接字、执行一句话木马、应用执行cmd、创建可执行文件、创建克隆账户在了解黑客入侵行为轨迹后，在系统和应用两个层面监控和拦截，用安全机制补充安全规则，以有限的行为防御无限的漏洞。内核探针RASP探针应用探针WAF探针云中心沙盒内核探针监控系统层异常行为内核加固通过构建内核探针对端口扫描、反连shell、进程自我复制、监听原始套接字等黑客在入侵产生的多种异常行为进行监控及防护，同时会对系统中的二进制文件创建、进程

4、创建、进程外连、linux shell操作命令等行为进行监控和防护，实现主机内核加固。应用权限控制从内核层实现应用权限控制，限制应用过高权限，防止提权、创建可执行文件等操作。自适应WAF探针拦截已知WEB攻击WAF探针工作于IIS、Apache、Nginx等web中间件内部，基于防护规则（数字签名）对WEB流量进行监控及过滤，具备所有硬件WAF的防护能力及功能。防护能力常见网络攻击（SQL注入、XSS、溢出攻击等）CC攻击(独创session验证模式，高效验证正常访问/机器攻击)大数据安全分析每天1500W+攻击记录4000W+IP 信誉库海量 webshell样本，动态结合RASP、沙箱技术

5、，识别未知攻击支持web中间件IIS、Apache、Nginx、kangle、Tomcat、Weblogic、WebSphere、TongWeb、Jboss、Glassfish、Jetty等RASP探针检测和拦截未知攻击RASP(runtime application self-protection)RASP探针工作于ASP、PHP、Java等脚本语言解释器内部，区别于传统WAF基于流量规则的防护方式，RASP探针是基于脚本行为（无规则）的方式进行漏洞攻击识别及防护，RASP探针会对WEB流量以及 文件操作及数据库操作等行为进行监控，在脚本解析、命令执行等关键点上进行监控和拦截，能有效防御SQ

6、L注入、任意命令执行、文件上传、任意文件读写、Weblogic反序列化、Struts2等基于传统签名方式无法有效防护的未知安全漏洞，是对传统WAF的有效补充。RASP捕获0DAY云中心沙盒检测未知恶意代码沙箱（sandbox）基于脚本虚拟机（沙盒）的无签名Webshell检测技术，有效检测各种加密、变形的Webshell基于异常行为的检测技术，可有效检测出未知威胁。通过在内核及应用层探针中设置监控点，持续对系统的行为进行学习，可有效检测出系统中存在的异常行为，并在综合判定后产生告警。脚本虚拟机的优势不依赖文本特征检测可检测自加密的脚本可检测未活动的Web