信创安全 | 解决信创主机高级威胁的最佳方案

点击 信创纵横 并设为星标⭐️ 及时获取最新资讯

我国高度重视信创产业发展，通过政策指导和扶持，催生了一批信创相关企业。从关键环节核心组件的自主创新入手，围绕芯片、操作系统、数据库、中间件以及办公套件等构建自己的底层IT架构、产业标准和生态体系，推动IT产品和技术安全可控。信创产品也在一些关键领域得到充分应用，并逐步延伸扩大到更广泛的行业领域。然而，随着信创产业发展应用速度的加快，一些网络安全问题也随之而来。由于数字化转型和科技发展创新的不断加快，各行业业务运营链条和服务流程也在不断发生变化，促使信息化建设规模持续增大，信息资产价值不断增大，从而招致比以往更为猛烈的网络攻击。而新兴技术被广泛应用，业务复杂度也随之提升，这也导致了系统会存在比以往能难应对的风险隐患。

如今，国际局势动荡，国与国之间网络对抗持续，作为国家重中之重的信创产业必然会成为黑客组织的重要目标，一些暴露在互联网上的信创信息化设施成为攻击者的重点攻击对象，甚至处于内部网络的设施也难以幸免。而作为防守核心的主机系统，则成为了网络安全事件的重灾区。尽管各网络运营单位纷纷采用了各种网络安全保护措施来降低主机安全事件发生的概率，攻击者仍然通过内存破坏攻击、零日漏洞利用、内存Webshell攻击等各类高级攻击手段突破网络运营单位安全防线，给信息系统安全防护工作造成很大压力。

本解决方案旨在利用安芯神甲主机安全监测及内存保护系统V3.0（简称“安芯神甲”）来解决信创主机高级威胁问题。

安芯神甲由控制中心和客户端组成。

控制中心部署在独立服务器上，采用B/S架构，管理员可通过浏览器进行访问。控制中心集中管理客户端上报的资产信息、攻击和风险信息等，提供安全告警信息的监控与处理功能，帮助管理员迅速掌握主机威胁状况。同时，控制中心也提供了资产管理、策略管理、日志管理、运维管理等功能，方便管理员对客户端进行集中监控、分组管理、策略配置、静默升级、威胁分析等。

安芯神甲核心功能模块主要包括四个。分别是内存/内核安全防护、攻击链检测与响应、内存Webshell攻击防护以及通用安全能力。

在内存/内核层，安芯神甲创新采用内存保护技术实现暂态数据的防护，进而实时有效地防范未知的内存攻击和二进制漏洞利用等威胁。根据冯·诺伊曼体系结构，所有的程序都会经过CPU进行运算，所有的数据都会经过内存进行读取，安芯神甲通过细粒度的监控内存读、写、执行行为并基于CPU指令执行分析判断内存访问行为及程序运行的合理性，可实时检测内存中存在的堆喷、堆栈溢出、内存数据覆盖等异常行为，并结合拦截模块进行漏洞防御，同时监控应用相关内存数据的多读、挂钩、篡改等行为，保护业务核心数据资产不被窃取。

除此之外，安芯神甲还创新融入了合法内存行为执行流学习技术，此技术通过内存行为分析对业务进行预学习，从而建立应用程序合法执行路径的路线图，当应用程序在执行过程中内存保护系统会监控其合法执行路径，一旦出现程序执行过程中偏差，内存保护系统则会对其进行立即拦截，并在短时间内快速修正其执行流，从而保障业务连续性。

安芯神甲创新使用攻击链检测与响应（Attack-Chain Detection and Response）技术，实时有效地拦截并还原未知恶意代码攻击事件。通过对PB级样本进行AI聚类学习，辅以超过十几年的反病毒从业经验的专家人工武器库情报搜集及专项样本定点分析，提炼出覆盖7大攻击阶段的74类行为，100+个攻击路径特征和动态加权、ML模型、复合式决策等多种威胁研判模型，对恶意代码进行实时检测并依据所处计算环境及威胁等级进行智能拦截。事件还原模块会对威胁行为进行详细记录，并依据进程、网络、文件关系对攻击过程进行还原，展示为直观易懂的行为链和时间线视图，并对攻击过程进行相应注释，帮助用户更清晰的了解事件全链路过程。

在应用层，安芯神甲重点采用了RASP技术，并创新辅以上下文情景感知、应用漏洞特征感知、运行时安全切面感知及纵深流量感知等混合感知技术，将应用保护代码像疫苗一样注入到应用程序中，为应用程序赋予自我保护的能力，当应用程序遭受到Web攻击时，实现实时免疫阻断。

传统的WAF产品在流量侧对Web攻击进行分析和检测，存在检出效果较差和误报率较高等问题，针对内存马和未知威胁几乎没有防护能力。安芯神甲的内存马防护模块针对11类Web攻击行为，200余项敏感行为点进行了监控，实时检测内存马注册、Webshell连接和恶意指令执行等攻击行为，精准有效阻断Web攻击杀伤链，保护客户应用服务器和Web业务安全运行。以Java为例，通过Java Instrument的方式将检测能力注入到应用程序中，监控内存马注册Java组件和执行恶意命令，并能够获取内存马攻击行为详细信息，对内存马攻击进行快速定位、排查和阻断。例如，对于爆发的Apache Log4j2漏洞、Spring Framework RCE漏洞和Spring Cloud Function SPEL等漏洞，安芯神甲均无需升级即可实时拦截威胁动作，实现自免疫并溯源攻击信息。

安芯神甲拥有完善的主机安全能力体系，对于市面上主机安全产品的通用能力安芯神甲也做了部分针对性优化。

对于资产盘点功能，安芯神甲支持进程、端⼝、账号、启动服务、内核模块、环境变量、Web 服务、Web 框架、Web 站点、数据库、软件应用、安装包等资产的细粒度盘点，目前已支持10+大类主机资产、100+种web框架、200+种应用程序、1500+种web网站应用的识别。同时安芯神甲创新性的对资产风险进行梳理并按照风险分类展示，帮助用户更快发现资产问题，而非单纯的作为资产查询的工具。

对于漏洞扫描功能，安芯神甲内置12万+条漏洞数据，可有效对供应链安全漏洞进行识别。同时安芯神甲创新加入了智能漏洞评分系统，综合CVSS评分、实际环境利用复杂度和资产重要等级进行二次评估，让用户优先关注更少、更重要的漏洞。

对于非法外联、静态恶意文件扫描、异常登录及弱口令等功能，安芯神甲同样有良好的检测效果。

与传统的主机安全防护手段相比，本解决方案具有以下优点：

一、打造信创主机立体防护理念：构建覆盖内核层、系统层和应用层有机结合的立体防护体系，通过对内存访问行为、程序运行行为进行细粒度的监控，检测异常行为，有效识别内存破坏攻击、内存马攻击等高级威胁，构建系统运行时安全防护。

二、有效防护未知威胁攻击：以内存保护技术为底座，以行为分析技术为核心理念，通过检测内存异常行为，结合攻击链检测与响应技术、混合感知技术，实现对已知威胁和未知威胁的无差别检测和防御能力，摆脱对特征签名、网络流量、系统日志等静态特征的重度依赖。

三、降低安全运维运营成本：基于系统底层技术能有效提升威胁检测精确度，降低误报率，同时，系统的拦截能力也显著提升威胁事件自动化响应和处置能力，促进安全运维敏捷化、自动化、智能化建设，降低安全运维运营成本，提升运维效率。

四、加快企业数字化转型进度：安芯神甲通过运行在系统底层和应用程序内部，获取详细的攻击行为信息，为开发人员提供更多的情报信息来改进代码，加快产品迭代效率，从而更好地推进用户单位数字化转型。

安芯网盾践行“构建主机安全最后一道防线”的安全理念，成功帮助客户在信创主机环境下发现漏洞利用攻击、内存WebShell攻击等各类高级威胁，并在用户内部网络安全演练期间数次拦截主机攻击行为，有力保障了用户业务主机安全稳定运行，获得用户的充分肯定和赞誉。

某政府单位主机检测与响应能力建设实践；

基于内存保护技术的金融行业高级威胁解决方案；

某央企实网攻防演练期间安全能力建设……

安芯神甲主机安全监测及内存保护系统V3.0（简称“安芯神甲”）是安芯网盾（北京）科技有限公司自主研发的终端安全产品，技术栈自主可控。产品适用于党政、金融、通信、军工、能源、交通等各领域的信创及通用主机的安全防护，为用户构建基于内存安全技术的主机安全防护体系，检测并抵御RCE远程代码执行漏洞利用攻击、ROP攻击、堆栈溢出攻击、内存Webshell攻击、NSA武器库等高级威胁，提供全面溯源能力，切实保障用户核心业务的连续性以及核心数据的安全性。