在企业生产环境中,主机安全是整个信息系统安全的核心命脉。但当前主流的主机安全检测与响应产品(Host Detection and Response,HDR),通常会面临误报和漏报问题,漏报导致HDR不能及时发现和阻止真正的威胁,误报导致HDR只敢检测不敢拦截,否则误伤害可能造成系统崩溃和停摆。如何在有代价的前提下,解决误报和漏报问题,确保主机系统绝对安全,是国际国内各研究团队长期跟踪和研究的重要方向。北京丁牛科技有限公司(以下简称“丁牛科技”)自主研发的稳态主机安全系统智栏V2.0,瞄准稳态主机这一特定分类,基于系统运行时自防护技术(Runtime System Self Protection,RSSP),提出了一种新的主机安全解决方案。
01
什么是稳态主机
稳态主机是指系统的运行环境以及自身状态长时间保持相对稳定,相比于业务效率,更关注系统的稳定性、安全性、业务的连续性,对恶意事件的容忍度低,对防御响应的时效性和抗干扰能力要求较高的主机系统,比如电力指控系统、地铁管理系统、国防信息系统等。稳态主机检测与响应(Homeostatic Host Detection and Response,H²DR),旨在针对稳态主机特点,提供定制化的安全防御解决方案。
02
什么是稳态主机检测与响应
稳态主机检测与响应H²DR是指以探针为手段,采集操作系统的网络、文件、进程及底层运行状态等多维度数据,结合威胁情报等辅助信息关联分析,自动化地进行安全事件响应与处置,从而保障系统的业务连续性。其核心特点包括高鲁棒性、高稳定性和高安全性。
高鲁棒性(Robustness):
H²DR具备对不同环境和攻击情境的适应能力,可以持续稳定运行并应对不同的威胁和攻击,不易受到攻击者的干扰和破坏。用户侧探针以极低的资源占用率稳定运行,不因检测与响应占据过多系统资源,影响系统运行甚至造成系统崩溃。
高稳定性(Stability):
H²DR具备良好的系统稳定性和可靠性,不会因为外部因素或内部故障而导致系统崩溃或无法正常运行,保证用户系统业务的连续性和可用性。
高安全性(Security):
H²DR具备强大的安全性能和安全防护能力,可以检测和识别多种恶意攻击和漏洞利用行为,并采取相应的安全响应和处置措施,最大限度地保障系统和数据的安全性和完整性。
03
H²DR的关键核心技术
H²DR主要基于系统运行时自保防(Runtime System Self Protection,RSSP)。RSSP技术是一种基于操作系统内核控制的安全防护技术,主要用于监控和拦截恶意程序、恶意代码、恶意脚本等安全威胁。RSSP将监控和拦截范围进一步扩展到了操作系统层,利用操作系统内核提供的机制和接口实现对系统运行时的保护。RSSP技术的核心思想是通过动态的、多层次的安全检测和拦截机制,实现对系统运行时环境的自我保护,从而提高系统的安全性和稳定性。
RSSP具有全面性、实时性、自适应性、高效性、灵活性特点。全面性是指RSSP技术不仅仅是应用程序的安全防护,而是将监控和拦截范围扩展到了操作系统层,包括内核和用户空间进程,具有全面性的防护能力。实时性是指RSSP技术通过不断地监控和检测系统状态,能够实时地发现和拦截恶意行为,保证系统的安全性。自适应性是指RSSP技术能够根据系统的实际运行情况,自适应地调整防护策略,以适应不同的攻击情况。高效性是指由于RSSP技术基于操作系统内核控制,与应用程序紧密集成,因此可以实现高效的防护和检测。灵活性是指RSSP技术可以根据不同的安全策略和防护需求进行配置和调整,具有较大的灵活性。
RSSP包括三个层次的防御机制:
系统内核运行时权限管理
RSSP在内核态对常见的运行时程序的授权与鉴权管理,包括可执行程序、编译型中间件程序比如Java、解释性程序比如shell脚本、python、php等。这些程序的运行都需要安全管理员的授权,未授权程序的执行会被直接拦截,可以杜绝木马、webshell、挖矿程序等类型的攻击手段。鉴权的过程在内核进行,除了进程启动相关的系统调用,还有一些其他的关联调用都会被监控,从技术上其实很难绕过鉴权。鉴权机制经过优化,资源占用率极低,鉴权速度快,对主机上的正常程序运行几乎无干扰。
基于攻击行为的系统调用序列特征的建模
RSSP不关心系统操作的目的,也不关心某个文件的文本特征,只要操作中包含特定的系统调用与特殊参数的组合,或者用特定的系统调用去访问一个特殊的文件、特定的端口,或者某几个系统调用以一定的时序特征出现,这个操作基本上可以判断命中了某种攻击行为,比如内核提权,比如漏洞利用等。同时,结合威胁情报提高判定的精度,比如某个操作对外的TCP连接指向恶意IP,那么这种操作大概率应该是一个攻击行为的前置。
防御模块自保护
RSSP在被防御的主机上部署针对防御模块自身的防护,通过技术手段使攻击者无法找到防御进程,避免防御产品自身引入的被攻击风险,同时也对关闭防御进程的操作进行了一定的限制,让攻击者无法关闭防御进程从而躲避检测。
期待稳态主机检测与响应H²DR能够为传统HDR带来一些新的改变,帮助用户解决当前痛点。
作者:丁牛网安实验室 庞峥元 陈臻铭 陈硕 李永杰