无文件攻击越来越盛行,且该攻击方式比传统基于文件的恶意软件更容易成功。大多数防御措施通过识别网络上的恶意行为来检测无文件攻击,但这基本上只是一种事后补救方法。
应用安全厂商Virsec采取的方法与众不同,检测的是尚在内存中的恶意行为,能够防患于未然。
基于此,Virsec将其新产品称为首款应用内存防火墙。其功能就是检测应用执行中由基于内存的攻击所造成的异常行为,并即时阻止。这听起来很有吸引力。如果检测到应用内部行为异常,内存防火墙不仅可以阻止未知零日无文件攻击,还能够提供虚拟修复。
想想就因为很多系统没打补丁而大面积爆发的WannaCry和NotPetya,再想想做案之后才有迹可循的内存攻击DoublePulsar,如果能够在攻击尚在内存之时就检测并阻止,打没打补丁也就无关紧要了,攻击也能被及时遏制。
Equifax数据泄露是另一个例子。攻击者通过在Content-Type头嵌入恶意代码利用了一个远程代码执行(RCE)漏洞。修复该Struts2漏洞非常麻烦,因为需要重构所有应用。但如果该 Apache Web服务器和应用服务器的运行受到应用内存防火墙的监视,恶意行为便会被及时检测并阻止——无需任何修复操作。
Virsec首席执行官 Atiq Raza 表示:即便漏洞被发现并修复,黑客也能开发出新的无文件技术来逃过大多数安全工具的检测。事后补救型安全防御已不再能够应对今天的攻击,我们需转向实时监测和Web应用安全,以及所有支持这些操作的过程。
内存是网络攻击新战场。但典型安全工具对运行时内存使用缺乏可见性。Virsec能够检测并阻止这些之前防御不了的攻击。
Virsec通过映射应用的合法执行来达成其实时检测并阻止攻击的目的。今年的RSA大会上,该公司宣称:执行过程中的任何异常都是遭到攻击的迹象,应用内存防火墙能够在微秒级阻止漏洞利用。Virsec能够有效保护应用运行时安全,交付远超现有安全工具的有效性和准确性。
该过程对所有已编译应用程序有效,无论该应用是专有的、开源的还是遗留的。当应用被加载到进程内存时,Virsec映射应用分配到的每块内存,并编译出一个“AppMap”。该AppMap用于与实际执行流相比较,任何不符都会被当成内存滥用或崩溃的证据。因此,应用内部的无文件攻击能够被及时检测并阻止——在造成任何损害之前。
安全从业者大多不了解进程内存工作机制,能够在内存级别操作的安全工具就更少了。与其没完没了地追逐外部威胁,Virsec选择关注应用应该做的事,深入内存层级监测他们在运行时的实际执行情况。
Virsec的选择造就了一款扛得住高级无文件攻击技术的通用防御工具,内存崩溃攻击(缓冲区溢出)、栈溢出、DLL注入、面向返回编程(ROP)及ROP小工具、边信道攻击和配置数据篡改均在该防御工具的覆盖范围之内。
2018年3月,位于美国加州圣何塞的Virsec在科技投资公司BlueIO领衔的B轮融资中收获了2,400万美元,总融资额达到了3,160万美元。
声明:本文来自安全牛,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。