在传统云安全失败时提供帮助的六种策略

随着基于内存的攻击的激增继续挑战传统的云安全防御,对主动和全面的安全措施的需求变得至关重要。采用结合端点检测和响应、内存完整性保护和定期更新的多层方法可以加强对这些难以捉摸的威胁的防御。

随着云计算技术在各行各业的迅速普及,数据保护和安全已经成为人们最关心的问题。然而,随着云安全措施的不断发展,恶意行为者寻求利用漏洞的策略也在不断发展。

2023年6月,云原生安全领域的权威机构发布了一份研究报告,揭示了网络安全领域一个令人深感担忧的发展趋势。该报告表明,与2022年《云原生威胁报告》相比,基于内存的攻击出现了前所未有的1400%的惊人增长。

2023年7月,网络安全研究人员做出了突破性的发现,发现了一个基于python的无文件恶意软件,名为“PyLoose”。这次攻击是第一次记录在案的基于python的无文件攻击,明确针对现实场景中的云计算工作负载。使用Linux无文件技术memfd,PyLoose巧妙地将XMRigMiner直接加载到内存中,避免了将有效负载写入磁盘的需要,并利用了操作系统的功能来利用它。

这种反复发生的攻击事件凸显了传统云安全措施面临的重大挑战。以下深入研究基于内存的攻击的技术方面、它们对传统安全防御的规避,并讨论保护云计算基础设施的主动策略。

了解基于内存的攻击

基于内存的攻击,通常被称为“无文件攻击”,已经成为老练黑客的首选武器。与依赖于存储在磁盘上的恶意文件的传统攻击不同,基于内存的攻击利用了目标系统的易失性内存。由于驻留在内存中,这些攻击在系统上留下的痕迹很小,因此难以检测和阻止。

通常情况下,基于内存的攻击是通过高级脚本语言(例如PowerShell或JavaScript)实现的。它允许网络攻击者将恶意代码直接注入运行进程的内存空间。一旦代码被执行,攻击就可以悄悄地进行,执行从数据窃取和操纵到整个系统危害的各种操作。

规避传统云安全防御

基于内存的攻击激增的部分原因是它们能够避开传统的云安全防御。恶意行为者正在投入大量资源来实现先进的规避技术,旨在隐藏他们的活动并在受损的系统中获得强大的立足点。根据AquaSecurity公司的研究,对六个月的蜜罐数据的分析显示,超过50%的攻击是专门针对绕过防御措施的。

以下了解这些攻击绕过传统安全措施的一些主要方式:

(1)缺乏基于签名的检测:传统的防病毒软件和入侵检测系统(IDS)(如SolarWindsSecurityEventManager和Snort)严重依赖基于签名的检测来识别已知的恶意软件和恶意文件。由于基于内存的攻击不涉及将文件写入磁盘,因此它们有效地避免触发这些签名,使它们对许多安全解决方案不可见。

(2)基于行为的规避:基于内存的攻击通常使用已经在系统上运行的合法进程,这使得基于行为的检测系统难以区分正常活动和恶意活动。这使得网络攻击能够无缝地融入环境。

(3)加密的有效负载:许多基于内存的攻击利用加密技术来混淆其有效负载,使其无法被安全扫描仪读取。这种策略防止安全工具检查攻击的内容并理解其意图。

(4)减少内存占用:通过仅在内存空间内操作,基于内存的攻击在系统上留下的内存占用可以忽略不计。这种规避特征使得攻击后的法医分析更加困难。

技术缓解战略

为了应对日益增长的基于内存的攻击威胁,云计算安全专业人员和IT管理员必须采用结合各种安全技术和最佳实践的多层方法。以下了解企业可以采用的关键缓解策略,以防止基于内存的恶意软件。

(1)端点检测和响应(EDR):端点检测和响应(EDR)解决方案提供端点的实时监控,包括服务器和工作站,使组织能够检测和响应可疑活动,即使它们发生在内存中。利用机器学习和行为分析,EDR工具可以识别表明基于内存的攻击的异常活动。例如,MalwarebytesEDR为识别和对抗无文件恶意软件威胁提供了有效的补救措施。它密切监视端点上潜在的有害行为,并有效地检测可疑行为。此外,MalwarebytesNebula中的“可疑活动监控”是一个托管在云中的安全平台,它使用ML程序和在云中完成的分析来快速检测可疑行为。

(2)内存完整性保护:现代操作系统和云平台提供内存完整性保护机制。例如,微软在Windows10、Windows11和WindowsServer2016及更高版本中引入了基于虚拟化的安全(VBS)特性,即内存完整性(MemoryIntegrity),以打击内存漏洞,增强系统安全性。这些特性确保了系统内存空间的完整性,防止了未经授权的修改和篡改。

(3)定期软件更新和补丁管理:使所有软件和应用程序保持最新对于减轻基于内存的攻击至关重要。攻击者经常利用未打补丁软件中的已知漏洞渗透系统。定期更新有助于消除这些安全漏洞。

(4)特权升级缓解:限制用户特权和实现最小特权原则可以减轻基于内存的攻击的影响。限制用户在未经授权的情况下执行脚本或访问关键系统资源,可以减少攻击面。

(5)网络分段:将云网络正确地分割为不同的安全区域可以限制攻击者在环境中的横向移动。组织可以通过使用防火墙和访问控制来控制基于内存的攻击的影响。

(6)行为分析:实现监视用户和进程行为的行为分析工具可以帮助识别表明基于内存的攻击的可疑活动。例如,Mixpanel、Amplitude和FullStory等流行的用户行为分析工具可以检测未授权的向运行进程注入代码的企图。

企业用户还需要关注五点问题

需要云端强大的基础数据收集系统 ,多种提取方法的核心情报提取系统 ,快速且自动化的生产高覆盖度、高准确度、上下文丰富的情报数据,来收集检测企业风险。

(1)办公网终端/生产网及DMZ区服务器的威胁发现和失陷检测

(2)SOC/SIEM等系统威胁检测

(3)Web/邮件/SSH等公网开放的应用或者服务的外放访问IP的风险识别

(4)企业资产发现

(5)内外部安全事件的关联拓线及溯源追踪

德迅云图可提供实时威胁检测与分析,为各种不同类型的业务提供独特的价值。

(1)精准发现内网的被控主机,包括挖矿、勒索、后门、APT等,并提供佐证失陷的样本取证信息、处置建议等,促进企业快速响应处置风险

(2)将日志中的域名/IP提取出来通过分析,发现可疑时间,并结合人工分析通过内部工单系统进行日常运营,增强威胁发现和检测能力

(3)精准发现相关IP是否属于扫描、撞库、漏洞利用、僵尸网络等风险,同时进一步提供该IP的基础信息,如代理、网关出口、CDN、移动基站等

(4)通过高级查询,快速发现企业的域名、子域名、IP等资产的信息变动情况,管控资产暴露产生的数据泄露、服务暴露等相关风险

(5)对内外部安全事件中的域名/IP/Hash进行关联分析,通过域名的PassiveDNS以及Whois等数据,发现背后攻击者的姓名、邮箱、手机号码等真实或者虚拟身份

结语

随着基于内存的攻击的激增继续挑战传统的云安全防御,对主动和全面的安全措施的需求变得至关重要。采用结合端点检测和响应、内存完整性保护和定期更新的多层方法可以加强对这些难以捉摸的威胁的防御。

威胁形势不断变化,企业必须保持警惕,适应新的安全挑战,并采用尖端技术,以保护其云计算基础设施和敏感数据。只有保持积极主动和信息灵通,才能在数字时代抵御黑客无情的攻击。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:/a/564735.html

如若内容造成侵权/违法违规/事实不符,请联系我们进行投诉反馈qq邮箱809451989@qq.com,一经查实,立即删除!

相关文章

在Windows 10中禁用Windows错误报告的4种方法,总有一种适合你

序言 在本文中,我们的主题是如何在Windows 10中禁用Windows错误报告。你知道什么是Windows错误报告吗?事实上,Windows错误报告有助于从用户的计算机收集有关硬件和软件问题的信息,并将这些信息报告给Microsoft。 它将检查任何可…

图像哈希:GLCM+DCT

文章信息 作者:Ziqing Huang期刊:IEEE(一区)题目:Perceptual Image Hashing with Texture and Invariant Vector Distance for Copy Detection 目的、实验步骤及结论 目的:使用GLCM进行全局特征的提取&am…

Transformer - 时间特征的处理

Transformer - 时间特征的处理 flyfish ETTm1.csv有如下内容 假如有2016/7/1 0:45:00有这样的时间字符串,如何变成时间特征列表 from typing import Listimport numpy as np import pandas as pd from pandas.tseries import offsets from pandas.tseries.freq…

BFS 专题 ——FloodFill算法:733.图像渲染

文章目录 前言FloodFill算法简介题目描述算法原理代码实现——BFSCJava 前言 大家好啊,今天就正式开始我们的BFS专题了,觉得有用的朋友给个三连呗。 FloodFill算法简介 中文:洪水灌溉 举个例子,正数为凸起的山峰,负…

android学习笔记(五)-MVP模式

1、MVP模式demo的实现,效果下: 2、创建一个Fruit类: package com.example.listview; //Fruit类就是Model,表示应用程序中的数据对象。 public class Fruit {private int imageId;private String name;private String price;publi…

查找算法之插值查找

目录 前言一、查找算法预备知识二、插值查找三、总结3.1 查找性能3.2 适用场景 前言 查找算法是一种用于在数据集合中查找特定元素的算法。在计算机科学中,查找算法通常被用于在数组、链表、树等数据结构中查找目标元素的位置或者判断目标元素是否存在。 查找算法的…

基础SQL DML-插入语句

插入语句前,我们先创建一个表。表的创建在DDL语句里面涉及,可以参考:小赖同学吖-CSDN博客 我们创建一个员工表进行数据的插入操作 插入(添加)语句的语法 给员工表添加一条记录 给员工表添加多条记录 也可以通过下面的方…

Linux文件chattr/lsattr/Linux权限(搭建权限测试环境实战)引申到内部原理及Linux删除系统文件原理-7539字详谈

企业高薪思维: 每一个阶段什么时候是最重要的?(快速定位) 1.学习最重要的事情 (学生阶段,找工作前阶段) 2.家庭,女朋友 (工作阶段/学生阶段,学习不受到影响) …

浅析binance新币OMNI的前世今生

大盘跌跌不休,近期唯一的指望就是binance即将上线的OMNI 。虽然目前查到的空投数量不及预期,但OMNI能首发币安,确实远超预期了。 OMNI代币总量1亿,初始流通仅10,391,492枚,其中币安Lanchpool可挖350万枚 对于OMNI这个…

OneNote插件推荐(OneMore)

使用OneNote编辑笔记时希望有一个插件能够实现markdown的功能,于是发现了OneMark,后面用着用着,OneMark竟然收费了,于是苦苦找寻好用的markdown插件,无果,此时发现我的目标主要是实现对代码的格式化&#x…

洛谷 -P1007 独木桥(模拟,思维)

独木桥 题目背景 战争已经进入到紧要时间。你是运输小队长,正在率领运输部队向前线运送物资。运输任务像做题一样的无聊。你希望找些刺激,于是命令你的士兵们到前方的一座独木桥上欣赏风景,而你留在桥下欣赏士兵们。士兵们十分愤怒&#xf…

VMware 15 虚拟机网络遇到的问题

剧情提要 通过Cent os7 的镜像文件,创建了一个虚拟机A(后面简称A),事后发现,宿主机无法ping通A 在虚拟机中通过IP a 看到的IP信息也没有只管的ip信息如图 然后执行,宿主机才能访问A。 sudo dhclient ens…

前端css中的transform(转换)的使用

前端css中的transform的使用 一、前言二、流程图三、举例(一)、平移1.平移,源码12.源码1运行效果(1).视频效果(2).截图效果 3.平移3d效果,源码24.源码2运行效果(1)、视频效果(2)、截…

如何使用RRT模式进行交易,Anzo Capital一篇文章说清楚

railway tracks烛台模式(或铁路线 - RRT)是一种基于价格行为的简单交易策略,这种策略交易原理相当简单,易于使用。 RRT烛台形态也是图表上经常出现的形态,如果知道如何使用它,Anzo Capital认为它就是具有强烈交易信号的形态。 …

要提升B端管理系统颜值,登录页就是第一道门面,必须升级

登录页是B端管理系统门面,对于系统的品牌形象、辨识度、品质展示等有着不可替代的作用,是B端管理系统升级的必备页面,这里面有什么原因呢?10年经验的老司机→贝格前端工场为您分析一下。 一、登录页对于系统形象的重要性 B端管理…

SLS 查询新范式:使用 SPL 对日志进行交互式探索

作者:无哲 引言 在构建现代数据和业务系统的过程中,可观测性已经变得至关重要,日志服务(SLS)为 Log/Trace/Metric 数据提供了大规模、低成本、高性能的一站式平台服务,并提供数据采集、加工、投递、分析、…

合约X—314协议系统开发

随着区块链技术的不断发展,越来越多的协议被提出和应用,其中X314协议就是其中之一。该协议旨在通过去中心化、安全性和可扩展性等方面,为区块链应用提供更好的支持。本文将从多个角度对X314协议进行深度解析,探讨其优势和不足&…

牛客NC162 二叉树中和为某一值的路径(三)【中等 dfs C++、Java、Go、PHP】

题目 题目链接: https://www.nowcoder.com/practice/965fef32cae14a17a8e86c76ffe3131f 思路 既然要找所有路径上节点和等于目标值的路径个数,那我们肯定先找这样的路径起点啊, 但是我们不知道起点究竟在哪里, 而且任意节点都有…

【机器学习】《机器学习建模基础》笔记

文章目录 单元0 前言单元1 数学建模与机器学习学习目标(一)什么是模型(二)数学模型的分类(三)数学建模的一般步骤(四)机器学习的概念(五)机器学习的分类&…

CTF-reverse-simpleRE(base64变表逆向)

题目链接 NSSCTF | 在线CTF平台 题目详情 [HUBUCTF 2022 新生赛]simple_RE 解题报告 下载得到的文件使用ida64分析,如果报错就换ida32,得到分析结果,有main函数就先看main main函数分析 main函数的逻辑看下来十分简单,因此关键…