攻擊者入侵終端的手段可謂層出不窮：社會工程、網(wǎng)絡釣魚、惡意軟件、零日漏洞、惡意廣告、勒索軟件，甚至最近的加密貨幣劫持行動也只是攻擊者花招多樣性與復雜性的少數(shù)例子。不過，雖然表面上看這些攻擊可謂花團錦簇多姿多彩，其中一些卻有著類似的特征，依賴少數(shù)同樣的方法入侵終端和數(shù)據(jù)。比如說，零日漏洞就是很常見的入侵途徑。某種程度上，用以侵入系統(tǒng)的方法仍然保持了其歷史沿襲性，這有部分原因是由于，無論實際惡意軟件載荷或攻擊者的最終目標是什么，這些方法依然非常有效。

內(nèi)存篡改是痛點

利用零日漏洞或未修復漏洞的內(nèi)存篡改是攻擊者的首選武器，因為可以避開傳統(tǒng)的安全解決方案，在受害終端上執(zhí)行惡意代碼。攻擊者一直以來都在使用這些漏洞侵害目標系統(tǒng)，或者通過網(wǎng)頁掛馬和惡意廣告，或者通過受感染的電子郵件附件。

漏洞有趣的地方在于，操作應用內(nèi)存的時候，它們其實只使用少數(shù)幾種內(nèi)存篡改技術(shù)，無論這些漏洞看起來有多復雜或多關鍵。但不幸的是，傳統(tǒng)安全解決方案往往缺乏保護終端內(nèi)存空間的能力，僅重視保護存儲在磁盤上的文件。

該傳統(tǒng)安全解決方案的痛點意味著，黑客可以重復利用這些同樣的漏洞，頻繁投送各種攻擊載荷，直到其中之一繞過安全解決方案的審查。鑒于攻擊載荷從勒索軟件到鍵盤記錄器再到加密貨幣挖礦軟件都有，利用漏洞執(zhí)行的內(nèi)存篡改就特別有效了。

更糟的是，有些攻擊者還使用漏洞利用工具包，也就是流行應用已知漏洞利用程序的集合，比如Java、Adobe Reader、瀏覽器和操作系統(tǒng)的漏洞，來自動探測終端，查找已知脆弱軟件，投送惡意載荷。盡管某些廣為流傳的通用漏洞利用工具包，比如Angler和Rig，已經(jīng)被司法部門封禁，網(wǎng)絡罪犯仍可依靠內(nèi)存篡改漏洞作惡。

內(nèi)存保護

一個很明顯的問題是：你怎么保護內(nèi)存空間不受漏洞操縱?可以采用提供反漏洞利用功能的客戶機內(nèi)置式下一代層次化安全解決方案。攻擊者常會利用面向返回編程(ROP)技術(shù)劫持程序控制流執(zhí)行已有特定指令，反漏洞利用技術(shù)正是通過監(jiān)測ROP，來封堵ROP鏈中的內(nèi)存執(zhí)行及其他漏洞利用中常用的堆棧操作技術(shù)。

然而，隨著虛擬化和云基礎設施的鋪開，同一主機/硬件上托管多臺客戶機或多個操作系統(tǒng)的現(xiàn)象越來越普遍。有些技術(shù)可以嵌入硬件層和操作系統(tǒng)層之間，在不影響性能的情況下保護所有客戶機的內(nèi)存。

內(nèi)存自省技術(shù)完全獨立于操作系統(tǒng)，能高效抵御漏洞相關的已知和未知內(nèi)存篡改手法。由于其與操作系統(tǒng)完全隔離，也就完全不受客戶機內(nèi)部威脅的侵擾——無論該威脅有多么高端，但同時還具有對每個虛擬工作負載內(nèi)存的完整可見性。

利用裸機監(jiān)管程序，內(nèi)存自省技術(shù)可為虛擬基礎設施提供額外的安全層，防止黑客利用零日漏洞或未修復漏洞進行的攻擊。與關注實際攻擊載荷的傳統(tǒng)方法不同，內(nèi)存自省技術(shù)專注于初始攻擊點。

舉個例子，如果攻擊者試圖利用 Adobe Reader 零日漏洞釋放加密貨幣挖礦軟件、勒索軟件或鍵盤記錄器，內(nèi)存自省技術(shù)就會在攻擊者嘗試篡改內(nèi)存以提權(quán)的時候就加以阻斷。這意味著該攻擊殺傷鏈會在任何攻擊載荷被釋放或?qū)A設施的傷害造成前就被切斷。

超越終端的安全

無論是虛擬終端還是實體終端，都仍然在公司企業(yè)中扮演著舉足輕重的角色，安全團隊需全面照管到這些基礎設施，在不影響性能和業(yè)績的情況下保證它們的安全。軟件定義的數(shù)據(jù)中心、高度聚合的基礎設施，還有混合云環(huán)境，已經(jīng)改變了公司運營的方式和范圍。但安全的重心還是放在了實際終端上，比如虛擬桌面基礎設施(VDI)和虛擬專用服務器(VPS)。

高級威脅往往會利用安全盲點，我們有必要重構(gòu)安全解決方案，以適應企業(yè)在基礎設施、性能和擴展性上的新需求。操作系統(tǒng)內(nèi)外的安全技術(shù)最好能盡量靠近虛擬機監(jiān)管程序，這樣有利于防止用以投送高級持續(xù)性威脅或加密貨幣挖礦機和勒索軟件之類惡意威脅的內(nèi)存篡改技術(shù)，還可避免遭受經(jīng)濟和信譽上的損失。

【本文是51CTO專欄作者“”李少鵬“”的原創(chuàng)文章，轉(zhuǎn)載請通過安全牛（微信公眾號id:gooann-sectv）獲取授權(quán)】

戳這里，看該作者更多好文