股票代码:688225
Menu

产品全景图 >

联动防御系统
云安全
终端安全
高级威胁治理
数据安全
身份安全
SaaS安全运营服务
安全服务
网络与通信安全
AI安全
安全管理
网络管理
工业安全
信创产品
一体化智能安全运营平台
联动防御系统
联动防御系统 AI XDR
云安全
信舱云主机安全DeepSecurity
信帆云原生容器安全CNAPP
终端安全
新一代终端安全TrustOne
高级威胁治理
信桅高级威胁监测系统【TDA】
信桅高级威胁分析系统【DDAN】
信桅高级威胁邮件防护系统【DDEI】
信桅蜜罐系统【AISBIG】
数据安全
信数数据安全运营平台【AISDSOP】
信数数据分类分级系统【AISDC】
信数数据库审计系统【AISDBA】
信数数据脱敏系统【AISDM】
信数数据库防火墙【AISDBFW】
信数数据库访问控制【AISDBAC】
信数多方计算平台【AISMPC】
信数应用安全审计系统【AISAPI】
信数数据防泄漏系统【AISNDLP】
信数数据水印溯源系统【AISDWM】
信数数据库加密系统【AISDBE】
信界企业浏览器【AISTB】
身份安全
信磐统一身份认证与访问管理系统【AISIAM】
信磐堡垒机【AISIFORT】
SaaS安全运营服务
天穹共享免疫SaaS系统【ImmunityOne】
安全服务
新一代安全服务体系
攻防演练保障解决方案
勒索攻击治理服务方案
MSS安全运营
外部攻击面管理平台EASM
入侵与攻击模拟平台BAS
网络与通信安全
新一代AI防火墙
信舷防毒墙系统【AISEDGE】
信舷防火墙系统【AISFW】
信舷WEB应用防火墙系统【AISWAF】
信舷网络威胁入侵防护系统【AISTPS】
信舷上网行为审计系统【AISACG】
信磐互联网接入认证系统【AISOBS】
集中IPoE接入认证系统【AISDHCP】
DNS全业务域名解析系统【AISDNS】
域名服务和地址分配及管理系统【AIDDI】
信舷安全隔离与信息交换系统【AISIES】
信舷网页防篡改系统【AISWD】
信舷抗拒绝服务系统【AISADS】
大模型安全网关【AISLFW】
信桨网络流量审计分析系统【SpiderFlow】
AI安全
智能体身份安全平台
智能体安全平台
AI 大模型防火墙【AISMAF】
信立方安全大模型
安全管理
日志审计分析系统【AIRDS】
漏洞扫描系统【SpiderScan】
安全数据中心【AISSDC】
网络管理
故障管理系统【AISFMS】
算网融合管理系统【AISCNCMP】
综合终端管理系统 【AISITMS】
智能网管系统【AISIPOSS】
工业安全
信桨工控防火墙【ICFireWall】
信桨工业流量审计分析系统【ICFlow】
信桨工业主机安全加固【ICHost】
信桨工业安全管理平台【ICSMP】
信桨工业安全隔离与信息交换系统 【ICGAP】
信桨工业运维安全管理与审计系统【ICOPS】
信桨工控等保检查工具箱【ICSI】
信创产品
信创DHCP系统
信创DNS全业务域名解析系统
信创AAA系统
信创零信任访问控制系统
信创统一帐号认证授权平台
信创防毒墙系统
信创高级威胁监测系统
信创WEB应用防火墙系统
信创防火墙系统
一体化智能安全运营平台
信舵安全管理与分析平台【MAXS】
安全运营
云安全资源池【信池SDSEC】
信池统一安全管理平台【LinkOne】
热点推荐
<
|
>
打开微信“扫一扫”,开启安全数字世界之旅
截图或长按保存至相册,使用微信扫一扫
首页 > 关于我们 > 企业新闻

新闻与活动

亚信安全最新资讯与活动。

宿主机失陷 备份失效?DS以“底层内省”实现架构免疫
发布时间 :2026年05月19日
类型 :公司新闻
分享:


如果说过去的网络攻防是“门窗之战”,那么现在,地基正在被拆除。长期以来,企业习惯于在 Guest OS(虚拟机操作系统)内构筑防线,认为备份是最后的退路,但 Mandiant 最新的《M-趋势 2026》报告揭示了一个残酷的现实:以 UNC3944 为代表的威胁组织已实现“架构级下沉”。攻击者通过直接接管 KVM 或 VMware ESXi 宿主机,让所有端点防御将处于攻击者的“上帝视角”之下,形成降维式打击,“恢复根基”彻底瓦解。


KVM/VMware ESXi宿主机风险:

从“加密数据”到“拒绝恢复”的范式转变


《M-趋势 2026》的核心调查揭示了一个令人警醒的现实:虚拟化环境的威胁态势正经历一场根本性的结构调整。


  • 攻击目标的下沉:对手不再局限于Guest OS 内的横向移动,而是利用无人监控的边缘设备和本地网络功能,将攻击维度下沉至宿主机(KVM/VMware ESXi)。

  • 防御盲区的利用:传统的 Guest OS 级防护(如 EDR)在设计之初就存在天然局限——它对宿主机(KVM/VMware ESXi)以及管理平面(如 vCenter)内部的活动几乎完全不可见。

  • 致命的“拒绝恢复”:以 UNC3944 为代表的组织意识到,通过接管宿主机(KVM/VMware ESXi),他们不仅能绕过所有端点防御,更能直接通过底层操作摧毁企业的备份体系。


1.png

图 1:UNC3944攻击示意图


守住底线:

DS以“架构化免疫”构建企业内在韧性


当基础设施的控制权被对手接管,防护的新思路是要让安全能力穿透 Guest OS,向下延伸至虚拟化层与宿主机层,建立起具备“底层内省”能力的防护壁垒,守住最后的“第0层”阵地。DS 无代理技术通过架构下沉,构建一套针对宿主机(KVM/VMware ESXi)的高级防御全景方案。


2.png

图 2:DS 无代理架构概览图,“虚拟机+虚拟化层+宿主机”三位一体的纵深防御能力。


01

架构下沉:从被动猎杀转向架构化免疫


如图2所示,DS无代理实现了“虚拟机层 -> 虚拟化层 -> 宿主机层”的逻辑闭环。安全防护引擎直接嵌入在宿主机层,这种“即插即用”的设计拥有虚拟机内安装代理所不具备的内省能力。


  • 逃逸防护: 通过实时监控虚拟化层漏洞利用行为,阻止从 Guest OS 向宿主机层的非法跃迁。

  • 0Day攻击:虚拟补丁在不重启系统的前提下,从网络层拦截针对宿主机已知及未知漏洞的溢出攻击,实现“零风险”加固



02

底层全流量监测:视野更广


DS无代理模式在底层捕捉跨虚拟机的横向移动以及 UNC3944 利用底层 API 进行的离线磁盘挂载操作。真正实现了视野无盲区。


03

功能演进: 持续的防护能力增强


在原有强大的防火墙、DPI(深度包检测)、AV(防病毒)基础上,新增资产风险加固与主机入侵检测(HIDS)能力。


异构云全栈防护:

DS无代理的安全能力图谱


3.png

图 3:DS 无代理独有的宿主机(KVM/VMware ESXi)防护


  • 资产漏洞:在针对宿主机层的攻击发生之前,精准识别系统缺陷并提前修复,从源头消除被渗透的可能。

  • 防病毒:实时扫描并处置宿主机文件及进程中的恶意软件,防止病毒在宿主机层面驻留、破坏或进一步扩散。

  • 虚拟补丁:在不重启系统的前提下,从网络层拦截针对宿主机已知及未知漏洞的溢出攻击,实现“零风险”加固,是应对 0-Day 攻击的重要手段。

  • 入侵检测及防护 (HIDS):实时监控进程异常行为、反弹shell检测、系统后门检测、暴力破解防护以及异常登录检测,阻止攻击者非法接管宿主机控制权。

  • 入侵检测-云上流量采集:深度审计东西向流量中的异常特征,识别并预警利用底层接口或隐蔽通道进行的横向渗透。


面对攻击者将目标从“虚拟机 Guest OS 内”下层到虚拟化层的现实,传统的网络边界防御和 Guest OS 代理防护(如传统 EDR)已无法覆盖宿主机(KVM/VMware ESXi)侧攻击。UNC3944 的潜行路径表明,我们不能再容忍虚拟化底层成为防御视角的“黑盒”和安全的“法外之地”。一旦宿主机失守,上层所有的业务数据、应用安全乃至备份恢复机制都将沦为攻击者的囊中之物。


DS独有的无代理技术不仅是一次纯粹的技术迭代,它通过将安全能力深深植入虚拟化平台的“基因”中(内嵌于宿主机),从根源上赋予了云环境的内生免疫力。这种变革带来了四大核心价值:



  • 真正的纵深可视: 它利用不可被 Guest OS 绕过的底层能力,彻底消除了虚拟化底层的可见性盲区。无论是跨虚拟机的横向移动,还是针对宿主机的隐秘勒索操作,都将被实时捕捉。

  • 性能与安全的零妥协: 告别了有代理带来的“防病毒风暴”和性能损耗,真正实现了即插即用、对业务零负载的高级防御。

  • 兼容并蓄的全栈防护: 面对日益复杂的异构云环境,它成功打破了异构瓶颈,为包括 VMware ESXi 和国产 OpenStack (KVM) 在内的混合算力平面,提供了统一、精细且差异化的全栈高级防御图谱。

  • 全云防护发现即阻止:虚拟机层+虚拟化层+宿主机层的全云防护,发现攻击风险即能立即阻断攻击。



DS 无代理技术通过架构下沉,让安全与底层平台深度融合。消除了虚拟化层的防御死角,从底层切断针对虚拟化平台的攻击链,确立了数字化转型的架构安全优势。


下一篇:亚信安全入围《嘶吼2026网络安全产业图谱》98大领域,全栈实力领跑行业赛道

返回列表
分享到微信
X