背景描述
在企业网络信息化建设中,经常会使用AD域(Active Directory Domain)来统一管理网络中的PC终端。在AD域中,DC(域控制器)包含了由这个域的账户、密码、属于这个域的计算机等信息构成的数据库。
在今年的大型攻防实战演练中,我们发现使用AD域进行内部网络管理的单位,攻击方和防守方争夺的核心焦点往往聚焦在DC上:对攻击方来说,获得了DC的控制权限即可宣告攻击成功;对防守方来讲,只要守护好DC,则内部网络始终不会遭受到特别严重的损害。
从攻击方的方法论来说,攻击AD域常用的方法有PTH攻击、黄金票据攻击、白银票据攻击、lsass进程读取明文密码,以及最新的NetLogon特权提升漏洞攻击等,攻击者在对AD域进行攻击时,通常以获取DC的控制权限为目标。而大部分安全产品在面对这些攻击时,无法进行有效的防护,难以在第一时间发现并阻断这些攻击。
企业AD域服务器的攻击事件层出不穷,一旦拥有域控管理权限的域控服务器被攻破,所有加入域的终端和服务器都将被控制,存在全网沦陷的可能。针对这种情况,安芯网盾首发最强域控服务器解决方案,解决用户在使用AD域进行内部网络管理过程中所面临的安全风险。
防护难点
从国内大型实战攻防演练的经验来看,上述攻击方法诸如PTH攻击、黄金票据攻击、白银票据攻击等所利用的手段基本是验证协议在设计过程中的缺陷,传统的防护手段应对这类攻击非常困难,原因如下:
1、基于文件特征码方式的传统防护手段主要针对各种病毒、木马文件进行防护,而上述攻击所使用到的文件均为系统正常文件,不会被文件特征码识别。
2、基于网络流量的分析防护,同样是基于对异常流量的识别和阻断,而上述攻击所触发的流量均为系统正常流量,不会被识别为异常流量。
3、采用比较暴力的禁用端口、服务等方法杜绝风险,此种处置方式确实能够防护系统免受威胁,但又过于一刀切,会影响正常业务的使用。
除了上述原因之外,域控环境同时还存在补丁修复限制及新漏洞的不断产生从而引发新的风险。因此,传统防护体系对AD域的全面防护存在缺陷,急需寻找全新的解决方案。
解决方案
在AD域环境中会遇到各种各样的攻击,而传统安全产品只在应用层或系统层进行防护,在面对新型威胁和内部威胁时,难以在第一时间发现并阻断这些威胁。安芯网盾的内存保护系统使用创新的技术如硬件虚拟化技术、内存行为分析技术等,把安全产品的防护能力从应用层、系统层下沉到硬件虚拟化层,打造了三大能力模块:
01漏洞防御
通过细粒度的监控内存读、写、执行行为,可实时检测内存中存在的堆、栈代码执行、内存数据覆盖等异常行为,结合拦截模块,可以高效防御0day漏洞攻击。
02内存数据保护
系统运行或切换用户时,内存中存有缓存数据,内存保护系统可以对特定进程进行防护,防止第三方工具读取缓存数据。
03威胁防御
内存保护系统可以实时感知内存数据流动状态、程序的具体行为动作并结合访问行为,发现未知威胁。