在传统云安全失败时提供帮助的六种策略

随着基于内存的攻击的激增继续挑战传统的云安全防御,对主动和全面的安全措施的需求变得至关重要。采用结合端点检测和响应、内存完整性保护和定期更新的多层方法可以加强对这些难以捉摸的威胁的防御。

随着云计算技术在各行各业的迅速普及,数据保护和安全已经成为人们最关心的问题。然而,随着云安全措施的不断发展,恶意行为者寻求利用漏洞的策略也在不断发展。

2023年6月,云原生安全领域的权威机构发布了一份研究报告,揭示了网络安全领域一个令人深感担忧的发展趋势。该报告表明,与2022年《云原生威胁报告》相比,基于内存的攻击出现了前所未有的1400%的惊人增长。

2023年7月,网络安全研究人员做出了突破性的发现,发现了一个基于python的无文件恶意软件,名为“PyLoose”。这次攻击是第一次记录在案的基于python的无文件攻击,明确针对现实场景中的云计算工作负载。使用Linux无文件技术memfd,PyLoose巧妙地将XMRigMiner直接加载到内存中,避免了将有效负载写入磁盘的需要,并利用了操作系统的功能来利用它。

这种反复发生的攻击事件凸显了传统云安全措施面临的重大挑战。以下深入研究基于内存的攻击的技术方面、它们对传统安全防御的规避,并讨论保护云计算基础设施的主动策略。

了解基于内存的攻击

基于内存的攻击,通常被称为“无文件攻击”,已经成为老练黑客的首选武器。与依赖于存储在磁盘上的恶意文件的传统攻击不同,基于内存的攻击利用了目标系统的易失性内存。由于驻留在内存中,这些攻击在系统上留下的痕迹很小,因此难以检测和阻止。

通常情况下,基于内存的攻击是通过高级脚本语言(例如PowerShell或JavaScript)实现的。它允许网络攻击者将恶意代码直接注入运行进程的内存空间。一旦代码被执行,攻击就可以悄悄地进行,执行从数据窃取和操纵到整个系统危害的各种操作。

规避传统云安全防御

基于内存的攻击激增的部分原因是它们能够避开传统的云安全防御。恶意行为者正在投入大量资源来实现先进的规避技术,旨在隐藏他们的活动并在受损的系统中获得强大的立足点。根据AquaSecurity公司的研究,对六个月的蜜罐数据的分析显示,超过50%的攻击是专门针对绕过防御措施的。

以下了解这些攻击绕过传统安全措施的一些主要方式:

(1)缺乏基于签名的检测:传统的防病毒软件和入侵检测系统(IDS)(如SolarWindsSecurityEventManager和Snort)严重依赖基于签名的检测来识别已知的恶意软件和恶意文件。由于基于内存的攻击不涉及将文件写入磁盘,因此它们有效地避免触发这些签名,使它们对许多安全解决方案不可见。

(2)基于行为的规避:基于内存的攻击通常使用已经在系统上运行的合法进程,这使得基于行为的检测系统难以区分正常活动和恶意活动。这使得网络攻击能够无缝地融入环境。

(3)加密的有效负载:许多基于内存的攻击利用加密技术来混淆其有效负载,使其无法被安全扫描仪读取。这种策略防止安全工具检查攻击的内容并理解其意图。

(4)减少内存占用:通过仅在内存空间内操作,基于内存的攻击在系统上留下的内存占用可以忽略不计。这种规避特征使得攻击后的法医分析更加困难。

技术缓解战略

为了应对日益增长的基于内存的攻击威胁,云计算安全专业人员和IT管理员必须采用结合各种安全技术和最佳实践的多层方法。以下了解企业可以采用的关键缓解策略,以防止基于内存的恶意软件。

(1)端点检测和响应(EDR):端点检测和响应(EDR)解决方案提供端点的实时监控,包括服务器和工作站,使组织能够检测和响应可疑活动,即使它们发生在内存中。利用机器学习和行为分析,EDR工具可以识别表明基于内存的攻击的异常活动。例如,MalwarebytesEDR为识别和对抗无文件恶意软件威胁提供了有效的补救措施。它密切监视端点上潜在的有害行为,并有效地检测可疑行为。此外,MalwarebytesNebula中的“可疑活动监控”是一个托管在云中的安全平台,它使用ML程序和在云中完成的分析来快速检测可疑行为。

(2)内存完整性保护:现代操作系统和云平台提供内存完整性保护机制。例如,微软在Windows10、Windows11和WindowsServer2016及更高版本中引入了基于虚拟化的安全(VBS)特性,即内存完整性(MemoryIntegrity),以打击内存漏洞,增强系统安全性。这些特性确保了系统内存空间的完整性,防止了未经授权的修改和篡改。

(3)定期软件更新和补丁管理:使所有软件和应用程序保持最新对于减轻基于内存的攻击至关重要。攻击者经常利用未打补丁软件中的已知漏洞渗透系统。定期更新有助于消除这些安全漏洞。

(4)特权升级缓解:限制用户特权和实现最小特权原则可以减轻基于内存的攻击的影响。限制用户在未经授权的情况下执行脚本或访问关键系统资源,可以减少攻击面。

(5)网络分段:将云网络正确地分割为不同的安全区域可以限制攻击者在环境中的横向移动。组织可以通过使用防火墙和访问控制来控制基于内存的攻击的影响。

(6)行为分析:实现监视用户和进程行为的行为分析工具可以帮助识别表明基于内存的攻击的可疑活动。例如,Mixpanel、Amplitude和FullStory等流行的用户行为分析工具可以检测未授权的向运行进程注入代码的企图。

企业用户还需要关注五点问题

需要云端强大的基础数据收集系统 ,多种提取方法的核心情报提取系统 ,快速且自动化的生产高覆盖度、高准确度、上下文丰富的情报数据,来收集检测企业风险。

(1)办公网终端/生产网及DMZ区服务器的威胁发现和失陷检测

(2)SOC/SIEM等系统威胁检测

(3)Web/邮件/SSH等公网开放的应用或者服务的外放访问IP的风险识别

(4)企业资产发现

(5)内外部安全事件的关联拓线及溯源追踪

德迅云图可提供实时威胁检测与分析,为各种不同类型的业务提供独特的价值。

(1)精准发现内网的被控主机,包括挖矿、勒索、后门、APT等,并提供佐证失陷的样本取证信息、处置建议等,促进企业快速响应处置风险

(2)将日志中的域名/IP提取出来通过分析,发现可疑时间,并结合人工分析通过内部工单系统进行日常运营,增强威胁发现和检测能力

(3)精准发现相关IP是否属于扫描、撞库、漏洞利用、僵尸网络等风险,同时进一步提供该IP的基础信息,如代理、网关出口、CDN、移动基站等

(4)通过高级查询,快速发现企业的域名、子域名、IP等资产的信息变动情况,管控资产暴露产生的数据泄露、服务暴露等相关风险

(5)对内外部安全事件中的域名/IP/Hash进行关联分析,通过域名的PassiveDNS以及Whois等数据,发现背后攻击者的姓名、邮箱、手机号码等真实或者虚拟身份

结语

随着基于内存的攻击的激增继续挑战传统的云安全防御,对主动和全面的安全措施的需求变得至关重要。采用结合端点检测和响应、内存完整性保护和定期更新的多层方法可以加强对这些难以捉摸的威胁的防御。

威胁形势不断变化,企业必须保持警惕,适应新的安全挑战,并采用尖端技术,以保护其云计算基础设施和敏感数据。只有保持积极主动和信息灵通,才能在数字时代抵御黑客无情的攻击。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/pingmian/1760.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

linux系统安全与应用【下】

目录 1.开关机安全控制 1.1GRUB限制 2.终端登录安全控制 2.1 限制root只在安全终端登录 2.2 禁止普通用户登录 3.弱口令检测 3.1 Joth the Ripper(JR) 4.网络端口扫描 4.1 nmap命令 1.开关机安全控制 1.1GRUB限制 通常情况下在系统开机进入GRU…

详解:老阳说的temu电商项目怎么做才更赚钱?

近年来,电商行业蓬勃发展,temu电商项目作为其中的一员,也受到了广泛关注。老阳作为行业内的资深人士,对于temu电商项目有着独到的见解。那么,如何才能做好temu电商项目呢? 首先,要明确temu电商项目的定位和…

Day39 网络编程(一):计算机网络,网络编程,网络模型,网络编程三要素

Day39 网络编程(一):计算机网络,网络编程,网络模型,网络编程三要素 文章目录 Day39 网络编程(一):计算机网络,网络编程,网络模型,网络…

day07 51单片机-串口通信

51 单片机-串口通信 1 串口通信 1.1 需求描述 本案例讲解如何通过串口和PC以9600波特率,无校验位、1停止位通信。最终实现PC向单片机发送字符串,单片机回复PC。本案例中采用串口1通信。 1.2 硬件设计 1.2.1 串口工作原理 串口是将数据按照比特逐一发送的通信接口。在串…

Python 开发实现登陆和注册模块

Python 开发实现登陆和注册模块 一、案例介绍 本例设计一个用户登录和注册模块,使用Tkinter框架构建界面,主要用到画布、文本框、按钮等组件。涉及知识点:Python Tkinter界面编程、pickle数据存储。本例实现了基本的用户登录和注册互动界面…

web前端 html5+css3相关知识点(跟着黑马学)8

先总结一下网页常见的布局方式: 1. 标准流 块级元素独占一行 -> 垂直布局 行内元素/行内块元素一行显示多个 -> 水平布局 2. 浮动 可以让原本垂直布局的块级元素变成水平布局。 3. 定位 可以让元素自由的摆放在网页的任意位置 一般用于盒子之间的层叠…

分布式锁(Redis)

一、序言 本文和大家聊聊分布式锁以及常见的解决方案。 二、什么是分布式锁 假设一个场景:一个库存服务部署在上面三台机器上,数据库里有 100 件库存,现有 300 个客户同时下单。并且这 300 个客户均摊到上面的三台机器上(即三台…

React 19 带来了 JSX 运行时的重要更新

在 React 的发展历程中,JSX 运行时一直扮演着重要的角色。在以前的的版本,JSX 运行时会克隆传入的 props 对象,这背后有着两大原因。 历史原因 React 保留了一些特殊的 prop 名称,如 key 和在 React 19 之前的 ref。这些 prop 并…

SpringBoot整合Swagger3生成接口文档

一:前言 Swagger 是一个 RESTful API 的开源框架,它的主要目的是帮助开发者设计、构建、文档化和测试 Web API。Swagger 的核心思想是通过定义和描述 API 的规范、结构和交互方式,以提高 API 的可读性、可靠性和易用性,同时降低 …

深度图转点云

一、理论分析 二、其他分析 1、相机内参 相机内参主要是四个参数fx,fy,u0,v0。要明白相机内参就是相机内部参数,是参考像素坐标系而言,有了这个前提,这四个参数也就很好理解了。 (1)首先,。其中F是相机的…

Oracle中的 plsql语法

01-plsql 为什么要plsql 复杂的业务逻辑 可以使用 编程语言实现 sql无法实现 plsql也可以实现复杂的业务逻辑 为不直接使用编程语言 而是学习plsql plsql会比直接使用 编程语言 速度更快 基本语法: [declare --声明变量 变量名 变量类型 ] begin --代码逻辑 …

Springboot Gateway 报错Failed to resolve “bogon”的原因及解决办法

一、问题出现原因及初步分析 今天遇到一个奇怪的错误,一个一直正确运行的微服务后台,突然无法访问,如何重启都会报错。 想到近期有人在服务器上安装过其它服务,因此,考虑可能是配置问题,可配置问题修复后…

1.基于Springboot对SpringEvent初步封装

一:前置知识 Spring Event是Spring框架提供的一种事件机制,用于处理组件之间的通信。在复杂的系统中,模块或组件之间的通信是必不可少的。Spring Event可以用于以下场景: 1.系统间解耦:模块或组件之间通过事件进行通…

账号安全基本措施1

一、系统账号清理 1.1 将用户设置为无法登录 useradd -s /sbin/nologin lisi shell类型设置为/sbin/nologin用户将无法使用bash或其他shell来登录系统。 1.2 锁定用户。passwd -l 用户名 正常情况下是可以送普通用户切换到其他普通用户的 当锁定密码后passwd -l lisi就用普…

LeetCode:组合求和III之回溯法

题目 题目链接 找出所有相加之和为 n 的 k 个数的组合,且满足下列条件:只使用数字1到9 每个数字 最多使用一次 返回 所有可能的有效组合的列表 。该列表不能包含相同的组合两次,组合可以以任何顺序返回。题目图解 ** ** cpp代码 class …

AI预测体彩排列3第2套算法实战化测试第1弹2024年4月22日第1次测试

从今天开始,开始新一轮的测试,本轮测试,以6码为基础,同步测试杀号情况,争取杀至4-5码。经过计算,假如5码命中,即每期125注,投入250元,十期共计2500元,则命中率…

牛客NC233 加起来和为目标值的组合(四)【中等 DFS C++、Java、Go、PHP】

题目 题目链接: https://www.nowcoder.com/practice/7a64b6a6cf2e4e88a0a73af0a967a82b 解法 dfs参考答案C class Solution {public:/*** 代码中的类名、方法名、参数名已经指定,请勿修改,直接返回方法规定的值即可*** param nums int整型…

日本二次元团建国内院线:一周一部,占据36.2%票房

从《你想活出怎样的人生》开始,到《哈尔的移动城堡》结束,日本动画正在占据国内院线的整个4月份档期。 包括《数码宝贝02:最初的召唤》、《间谍过家家 代号:白》多部作品在内,整个国内四月份院线日本动画平均一周上映…

【Linux实践室】Linux高级用户管理实战指南:Linux用户与用户组编辑操作详解

🌈个人主页:聆风吟_ 🔥系列专栏:Linux实践室、网络奇遇记 🔖少年有梦不应止于心动,更要付诸行动。 文章目录 一. ⛳️任务描述二. ⛳️相关知识2.1 🔔Linux查看用户属性命令2.1.1 👻…

数据结构PT1——线性表/链表

1:顺序存储实现(数组实现) Data: a1 a2 .....ai ai1 .... an .... typedef struct LNode *List; //指向LNode的指针,这是typedef的,你可以随时声明,而不加typedef只是创建一个 struct LNode{ //结构体成员ElementT…