这个专栏可以在名为IT最佳实践的每周通讯中找到。点击这里订阅。
随着网络攻击的不断增加,各组织都在加大对多层安全的投资,包括外围(或网络剩余部分)、网络和终端的安全。然而,根据波耐蒙研究所(Ponemon Institute)的数据,43%的美国公司在2013年遭遇了黑客入侵,比前一年增加了10%。
一个公司的计算环境最脆弱的部分是终端。Verizon得出结论,93%成功的APTs都是从终端用户鱼叉式钓鱼或其他类型的终端开发开始的。
反病毒和反恶意软件应用程序仍然是保护端点的主要手段,显然它们在捕获和阻止攻击方面的效率低于100%。是时候采取新的保护措施来补充大多数公司保护个人电脑的措施了。
我最近遇到了两家公司,他们的解决方案是隔离终端上最脆弱的活动,这样通过媒介进入的攻击就可以在传播之前得到缓解。例如,如果终端用户打开了一个恶意电子邮件附件,或者浏览了一个带有驱动恶意软件的网站,这些漏洞就会被遏制并自动减轻。
第一家公司是以色列初创公司BufferZone。这家公司为运行Windows XP及以上系统的pc提供了轻量级解决方案。BufferZone在PC上创建一个容器,隔离与不可信的外部源(如浏览器、电子邮件、可移动媒体、Skype等)接触的应用程序。从用户角度看,应用程序正常运行,但从安全角度看,应用程序运行在一个独立的虚拟容器中,该容器与其他端点完全隔离。这创建了一个缓冲区,防止恶意软件感染终端和企业网络以外。参见图1。
BufferZone的包含技术类似于现代操作系统中的核心技术——受保护内存,它隔离了整个应用程序环境-内存以及文件、注册表等。
Windows应用程序必须对文件和注册表数据具有读/写访问权限。但它也是通过文件系统和注册表,病毒,蠕虫,特洛伊木马,间谍软件和恶意软件安装。BufferZone通过使用作为操作系统内核的一部分的内核驱动程序来解决这个问题,并过滤应用程序级的I/O请求。不受信任的应用程序可以从文件系统和注册表读取数据,但是一旦它们试图写入或修改文件或注册表项,操作就会在磁盘上的另一个区域执行。来自这个不受信任的应用程序的所有将来读/写操作都将重定向到容器。这种I/O重定向对应用程序和最终用户都是完全透明的。
因此,任何由恶意软件造成的伤害都被封锁在虚拟环境中。终端和公司网络都不会被感染。新的威胁与不可预知的行为被有效地包含在已知的恶意软件中。
BufferZone的端点安全解决方案还包括一个名为SecureBridge的特性,这是一个可配置的过程,用于从容器提取数据、删除任何威胁,然后将数据移动到网络的可信区域。该解决方案还具有详细的报告,并与SIEM和大数据分析集成,以识别有针对性的攻击。
BufferZone通过LANDesk、McAfee和微软等公司的通用端点管理平台进行安装、更新和管理。该解决方案对最终用户是透明的,因此在执行安全性的同时保持了生产率。
第二个公司,Bromium,也有一种隔离方法,称为微虚拟化。每次用户执行某种不受信任的任务时——比如打开电子邮件、浏览网页或共享文件——bromium vSentry就会在一个微虚拟机(micro-VM)中隔离该任务。通过易受攻击的应用程序或恶意网站进入微虚拟机的恶意软件无法访问重要数据、受保护端点的操作系统、其他应用程序或公司网络。当用户完成任务时,微虚拟机就会被丢弃,任何已知的或零天的恶意软件也会随之被丢弃。参见图2。
Bromium微虚拟化技术使用了Bromium microvisor,这是一种专门构建的、基于氙的安全管理程序,它与Intel、AMD和其他cpu中内置的VT特性相结合。(Bromium的一些创建者在开发Xen-hypervisor方面发挥了关键作用,因此他们在这一领域具有很强的专业能力。)该解决方案为用户对来自未知来源的信息执行的每个任务动态创建硬件隔离的微vm。这些微vm提供了一个安全的环境,其中用户任务彼此隔离,受保护的系统和它所连接的网络隔离。系统通过设计来保护自己。
Bromium vSentry被部署为一个Windows MSI。它对终端用户是不可见的,所以他甚至没有意识到它的存在,但终端有足够的弹性来关闭任何类型的攻击。
这个解决方案转换了获取攻击情报的能力。由于用户任务的隔离性,Bromium可以允许“坏东西”执行,然后分析其行为和特征,并将威胁情报应用到所有端点和整个网络,以抵御未来的攻击。该流程消除了误报,并为端点上受到攻击的任何任务提供了实时完整的取证。
Bromium和BufferZone都避免了在恶意程序执行之前在端点上检测它的概念。相反,我们的想法是让恶意软件在一个完全孤立的环境中执行,这样它就不会造成任何伤害,并且可以从中学习,为下一次构建更好的防御机制——同时保持终端用户的生产力和良好的用户体验。