发动零日攻击的攻击者是企业网络当今面临的最大威胁之一。尽管很多厂商推广零日保护机制,但是如果他们不处理整个操作系统,就会给攻击留下洞开的大门。
今天的操作系统在设计上提供对资源的不同级别的访问。分级保护域常常被称为特权环——保护操作系统免受缺陷和不稳定性的影响。这些范围从特权最高或最可信的(通常为零)到特权最低或可信度最低(通常为最高数字)的域,它们提供在操作系统中执行安全性的能力。
应用程序在可信度最低或特权最小的域中执行,而操作系统在最可信或特权最高的域中执行。这种隔离使操作系统能够分配资源和防止可能会造成连锁反应的令人不快的行为。如果缺少这层屏障,病毒和其他恶意软件会轻易地跨进程复制,恣意传播。受这层屏障保护的操作系统要求每个应用程序请求访问不同操作系统资源或执行更高特权操作的许可。
微软和很多安全厂商投入大量的时间和精力来开发保护客户的增强型安全特性。这些增强型安全特性通常涉及内核空间,监测运行在用户空间中的应用程序发出的资源请求。
此外,基于主机的安全产品通常使用多种其他方法来保护应用程序不受隐藏在表面之下安全漏洞的影响。这些方法包括把栈和内存地址标记为不可执行或随机打乱内存分配子程序返回的内存地址。
另一类基于主机的保护(通常叫行为分析)截获和检查应用程序发出的各种系统请求,以根据策略执行限制。这种方法的一种变种是将应用程序加载到虚拟机仿真程序中,后者使指令而不是系统调用可以在执行前被截获和分析。
虽然基于主机的保护机制以难以在企业网络中配置和使用而闻名,但它们代表着目前一些可供使用的最好的方法。部署这类保护措施的机构仍面临风险,因为这类安全产品只是在应用层上而不是在操作系统内核中提供零日保护。
这就给客户造成一种虚假的安全感。一个熟练的对手可以通过利用内核中的安全漏洞进入网络。任何声称提供零日保护和应用层安全性的产品都必须把同样水平的安全性扩展到操作系统。
虽然目前市场上没有可以保护整个操作系统免受各种安全漏洞影响的安全产品,但虚拟化技术和硬件的最新进步使直接将下一代安全技术内置到虚拟机中成为可能。
更重要的是,通过开发可信的、具有安全意识的虚拟机监控程序,将可以取得更高水平的可见性。
许多可能出现的情景之一是,我们可以开发和部署虚拟专用设备,这种专用设备允许一台或多台服务器并行运行,同时安全软件在下面运行,提供所需要的保护。由于安全软件运行在操作系统之下的位置,因此,操作系统中的安全漏洞再也不能损害安全产品发挥作用的能力或绕过安全产品。此外,这类安全漏洞还可以被轻松地检测到和阻止。
这类解决方案提供比当前解决方案更强的保护,并通过整合关键服务器实现节省费用,消除对额外的安全软件的需要。虽然这种方法展现的是一种保护企业服务器安全的方法,但类似的概念也可以应用于保护用户。
保护环示意图
分级保护域——常常被称为特权环——保护操作系统免受缺陷和不稳定性的影响。一个环是设计用于在操作系统内执行专门任务的硬件和软件组件的一个逻辑划分。
