發動零日攻擊的攻擊者是企業網絡當今面臨的最大威脅之一。盡管很多廠商推廣零日保護機制,但是如果他們不處理整個操作系統,就會給攻擊留下洞開的大門。
今天的操作系統在設計上提供對資源的不同級別的訪問。分級保護域常常被稱為特權環——保護操作系統免受缺陷和不穩定性的影響。這些范圍從特權最高或最可信的(通常為零)到特權最低或可信度最低(通常為最高數字)的域,它們提供在操作系統中執行安全性的能力。
應用程序在可信度最低或特權最小的域中執行,而操作系統在最可信或特權最高的域中執行。這種隔離使操作系統能夠分配資源和防止可能會造成連鎖反應的令人不快的行為。如果缺少這層屏障,病毒和其他惡意軟件會輕易地跨進程復制,恣意傳播。受這層屏障保護的操作系統要求每個應用程序請求訪問不同操作系統資源或執行更高特權操作的許可。
微軟和很多安全廠商投入大量的時間和精力來開發保護客戶的增強型安全特性。這些增強型安全特性通常涉及內核空間,監測運行在用戶空間中的應用程序發出的資源請求。
此外,基于主機的安全產品通常使用多種其他方法來保護應用程序不受隱藏在表面之下安全漏洞的影響。這些方法包括把棧和內存地址標記為不可執行或隨機打亂內存分配子程序返回的內存地址。
另一類基于主機的保護(通常叫行為分析)截獲和檢查應用程序發出的各種系統請求,以根據策略執行限制。這種方法的一種變種是將應用程序加載到虛擬機仿真程序中,后者使指令而不是系統調用可以在執行前被截獲和分析。
雖然基于主機的保護機制以難以在企業網絡中配置和使用而聞名,但它們代表著目前一些可供使用的最好的方法。部署這類保護措施的機構仍面臨風險,因為這類安全產品只是在應用層上而不是在操作系統內核中提供零日保護。
這就給客戶造成一種虛假的安全感。一個熟練的對手可以通過利用內核中的安全漏洞進入網絡。任何聲稱提供零日保護和應用層安全性的產品都必須把同樣水平的安全性擴展到操作系統。
雖然目前市場上沒有可以保護整個操作系統免受各種安全漏洞影響的安全產品,但虛擬化技術和硬件的最新進步使直接將下一代安全技術內置到虛擬機中成為可能。
更重要的是,通過開發可信的、具有安全意識的虛擬機監控程序,將可以取得更高水平的可見性。
許多可能出現的情景之一是,我們可以開發和部署虛擬專用設備,這種專用設備允許一臺或多臺服務器并行運行,同時安全軟件在下面運行,提供所需要的保護。由于安全軟件運行在操作系統之下的位置,因此,操作系統中的安全漏洞再也不能損害安全產品發揮作用的能力或繞過安全產品。此外,這類安全漏洞還可以被輕松地檢測到和阻止。
這類解決方案提供比當前解決方案更強的保護,并通過整合關鍵服務器實現節省費用,消除對額外的安全軟件的需要。雖然這種方法展現的是一種保護企業服務器安全的方法,但類似的概念也可以應用于保護用戶。
保護環示意圖
分級保護域——常常被稱為特權環——保護操作系統免受缺陷和不穩定性的影響。一個環是設計用于在操作系統內執行專門任務的硬件和軟件組件的一個邏輯劃分。
