国家安全时代 如何应付未知漏洞攻击?
发布时间:2022-06-01 09:19:38 所属栏目:安全 来源:互联网
导读:安全(查杀)引擎与恶意攻击的攻防拉锯战,从单机时代的恶意软件加壳 vs.静态黑特征匹配,发展到了互联网时代基于漏洞的利用vs.基于行为黑、白特征的混用。如今,则是在国家安全这一大背景下的新型攻防对抗。 1. 受信程序的恶意指令 漏洞攻击的实质,是利用漏
|
安全(查杀)引擎与恶意攻击的攻防拉锯战,从单机时代的恶意软件加壳 vs.静态黑特征匹配,发展到了互联网时代基于漏洞的利用vs.基于行为黑、白特征的混用。如今,则是在国家安全这一大背景下的新型攻防对抗。 1. 受信程序的恶意指令 漏洞攻击的实质,是利用漏洞控制可信程序执行恶意指令。对可信程序进行限制也一直是安全工作的重要方向。最有代表性的,就是最小权限原则。 所以,“天狗”首先要做的,是利用 AI 能力,批量的,以进程、程序和文件为单位,进行权限收集和设置。要明确的区分是,基于角色、对人的行为的访问控制,是零信任要做的事情。 但是,访问控制与授权,是一个长期存在的问题。对权限的控制,不只是人为来规定,更需要底层安全技术的支撑。即使程序的样子、行为在用户看来是没有异常的,但进入内存指令层这样一个相对微观的世界,也会有明显的区别。这样做的益处是可以摆脱对文件和行为特征的依赖,大范围应用可能的阻碍是性能消耗的容忍程度。 除了性能外,内存的恶意指令检测还要重点考虑的是误报率和检出率的平衡。而且,因为客户环境中部署的安全软件经常会影响程序指令的执行,这对于恶意指令检测是种干扰,所以现场的适配过程现阶段也是必须的。 2. 后门发现 后门发现是此次“天狗”在技术上的一个重要创新点。 奇安信的特点是重视服务,重视实战效果。“天狗”也是如此。 据奇安信总裁吴云坤介绍,“天狗”从2018年就开始研发,半年前已经在10万终端进行部署测试。 作为一个底层安全技术,“天狗”一个重要特点就是不依赖特定操作系统。在政企用户的不同信息化场景,可以更灵活的提供能力支撑。 (编辑:江门站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
站长推荐