內(nèi)存安全

1.產(chǎn)品概述

內(nèi)存安全的核心原理是從計算機的體系結(jié)構(gòu)出發(fā)，任何需要CPU執(zhí)行的代碼、處理的數(shù)據(jù)都需要經(jīng)過內(nèi)存進行存儲。通過監(jiān)控CPU指令可以監(jiān)控內(nèi)存代碼和數(shù)據(jù)狀態(tài)。通過內(nèi)存虛擬化等技術(shù)來監(jiān)控內(nèi)存的讀、寫、執(zhí)行行為可以有效防御各種威脅。

內(nèi)存安全由內(nèi)存監(jiān)控、程序行為監(jiān)控、智能分析、系統(tǒng)安全增強和安全響應(yīng)等構(gòu)成，可阻止異常內(nèi)存訪問和惡意代碼執(zhí)行等攻擊行為，為計算機系統(tǒng)構(gòu)建一個完整的內(nèi)存安全環(huán)境。

內(nèi)存安全，關(guān)系到整個程序的安全，在軟件開發(fā)和程序設(shè)計中具有重要地位。如果程序員稍微疏忽，很容易出現(xiàn)安全隱患，而這些安全問題又具有不間斷發(fā)生，難于調(diào)試等特點。因此，內(nèi)存安全和系統(tǒng)的安全息息相關(guān)。

2.產(chǎn)品技術(shù)優(yōu)勢

應(yīng)對高級威脅的新思路

 

 

內(nèi)存安全建立程序運行時防護

 

建立主機三層立體防護能力

 

內(nèi)存安全關(guān)聯(lián)分析能力

 

內(nèi)存層重點防護能力范圍

內(nèi)存破壞型漏洞產(chǎn)生于非預(yù)期的內(nèi)存越界訪問，攻擊者利用零日漏洞或未修復(fù)漏洞進行內(nèi)存篡改以避開傳統(tǒng)安全解決方案，并在受害主機上執(zhí)行惡意代碼

 

 

 

重點防護-2022年最值得關(guān)注的安全漏洞

 

 

 

♦訪問控制失效（Broken Access Control）

 映射到訪問控制失效的34個CWE在應(yīng)用程序中的出現(xiàn)頻率比其他任何類別都要多。

♦加密失?。–ryptographic Failure）

♦注入（Injection）

♦不安全設(shè)計（Insecure Design）
 是2021年出現(xiàn)的新類別。此處需要重點關(guān)注與設(shè)計缺陷相關(guān)的風險。

♦安全配置錯誤（Security Misconfiguration）
 從上一版的第6位上升到了第5位。90%的應(yīng)用程序都經(jīng)過了某種形式的錯誤配置測試。

♦脆弱過時組件（Vulnerable and Outdated Component）
 此前名為“使用具有已知漏洞的組件”（Using Components with Known Vulnerabilities）——也從第6位一躍進入第6位。該 類別是唯一一個沒有任何CVE映射到所含CWE的類別，因此默認的漏洞與影響權(quán)重計5.0分。

♦……

重點防護-內(nèi)存Webshell&中間件漏洞

 

 

3.部署場景及案列

部署方式

 

 

應(yīng)用場景

♦終端威脅發(fā)現(xiàn)

• 無文件攻擊檢測，包括腳本類、灰色工具等
• 無補丁情況下，能夠檢測漏洞利用攻擊
• 檢測內(nèi)存攻擊，如傀儡進程、ShellCode執(zhí)行等

 

♦服務(wù)期威脅發(fā)現(xiàn)

• 檢測Jave、PHP等環(huán)境內(nèi)存Webshell攻擊
• RCE遠程代碼執(zhí)行漏洞利用檢測
• 能夠檢測ROP、堆棧溢出、PTH等攻擊
• 內(nèi)存及系統(tǒng)行為全方位溯源

部署效率高，運行穩(wěn)定可靠

 

案例1——應(yīng)對0Day漏洞-Log4j2

 

案例2——應(yīng)對變種威脅（內(nèi)存WebShell）