網(wǎng)絡(luò)安全這個(gè)世界，不缺新故事，也不曾缺新朋友。

如今的安全圈，老牌企業(yè)制霸一方，各界巨頭跨界斗法，高手如云。

但寬廣又擁擠的賽道里，依然不乏新生力量，從細(xì)分領(lǐng)域里突出重圍，走到大眾眼前。

安芯網(wǎng)盾算一個(gè)。

這家企業(yè)，從安全行業(yè)眾多細(xì)分領(lǐng)域中，選擇了“內(nèi)存安全”這一領(lǐng)域，以“國(guó)內(nèi)首家基于硬件虛擬化技術(shù)架構(gòu)，建立縱深防御體系最后一道安全防線”為登場(chǎng)人設(shè)，吸引了人們的目光。

為何選擇內(nèi)存安全？它能幫助客戶解決什么網(wǎng)絡(luò)安全問(wèn)題？就以上問(wèn)題，AI掘金志與安芯網(wǎng)盾的創(chuàng)始人兼CTO姚紀(jì)衛(wèi)進(jìn)行了一次談話。

傳統(tǒng)安全邊界的裂縫

“比如前幾天我們剛剛幫客戶攔截的Purple Fox木馬，就能夠隱藏惡意代碼去繞過(guò)大部分常規(guī)檢測(cè)防御產(chǎn)品，其攻擊行為都是在內(nèi)存中進(jìn)行，攻擊者會(huì)使用PowerShell腳本來(lái)實(shí)現(xiàn)無(wú)文件攻擊，并利用漏洞提權(quán)?！?/p>

在虛擬的世界里，對(duì)抗從未停止，道高一尺，魔高一丈的戲碼此起彼伏。

新的攻擊手段正在打破傳統(tǒng)安全邊界，這一點(diǎn)毋庸置疑。那么，攻擊者為什么青睞選用無(wú)文件等高級(jí)威脅手段進(jìn)行攻擊呢？

姚紀(jì)衛(wèi)指出，原因有四：

1、基于文件監(jiān)控、檢測(cè)技術(shù)的方法，無(wú)法識(shí)別基于內(nèi)存的攻擊。

2、基于日志或流量同樣無(wú)法檢測(cè)基于內(nèi)存的攻擊行為。 

3、基于內(nèi)存的攻擊，有些惡意代碼不在磁盤(pán)上落地，更隱蔽。 

4、現(xiàn)有安全防護(hù)體系缺乏強(qiáng)勁的運(yùn)行時(shí)保護(hù)能力。

從20世紀(jì)90年代至今，網(wǎng)絡(luò)安全經(jīng)歷過(guò)邊界防御、端點(diǎn)防御階段。眼下的形勢(shì)，需要增強(qiáng)端點(diǎn)行為分析能力，提高“實(shí)時(shí)檢測(cè)和響應(yīng)”能力。

大部分安全產(chǎn)品會(huì)有各自的優(yōu)勢(shì)，也不可避免有難以忽略的劣勢(shì)，尤其在新型威脅面前。比如像EDR軟件，它會(huì)更注重?cái)?shù)據(jù)的采集，把采集到的數(shù)據(jù)放入Server端，在Server端做大數(shù)據(jù)分析，分析識(shí)別威脅。

這些傳統(tǒng)的安全產(chǎn)品肯定也能解決一些安全問(wèn)題，但是它存在兩個(gè)弊端，一是現(xiàn)在操作系統(tǒng)越來(lái)越封閉（如：Windows 64位系統(tǒng)已經(jīng)不允許掛鉤子了），這會(huì)導(dǎo)致這些軟件的采集數(shù)據(jù)的能力越來(lái)越弱，二是有些軟件把數(shù)據(jù)上報(bào)到Server端分析，等Server端分析出來(lái)威脅，Agent端已經(jīng)無(wú)法阻斷響應(yīng)了，威脅已經(jīng)運(yùn)行完畢，正因這有延時(shí)，無(wú)法實(shí)時(shí)響應(yīng)。因此它們無(wú)法提供強(qiáng)勁的運(yùn)行時(shí)保護(hù)能力。

而內(nèi)存保護(hù)產(chǎn)品雖然也是在本地采集數(shù)據(jù)做分析，但為了采集更多的數(shù)據(jù)，它需突破系統(tǒng)的一些限制，它會(huì)采用硬件虛擬化等前沿技術(shù)做指令集監(jiān)控分析收集數(shù)據(jù)；它更注重本地單機(jī)的分析能力，對(duì)采集到的數(shù)據(jù)盡量在本地形成分析能力，不會(huì)過(guò)度依賴Server端，本地的分析能力發(fā)現(xiàn)威脅后能立馬實(shí)時(shí)響應(yīng)，因此它具有強(qiáng)勁的運(yùn)行時(shí)保護(hù)能力。

 正因如此，”當(dāng)前的主機(jī)安全解決方案應(yīng)該使用更底層技術(shù)去實(shí)現(xiàn)防護(hù)”，姚紀(jì)衛(wèi)說(shuō)道。

最后一道防線

由于企業(yè)的核心數(shù)據(jù)資產(chǎn)在服務(wù)器上，這也正是0day、無(wú)文件攻擊等高級(jí)威脅將主機(jī)作為主要攻擊目標(biāo)的原因。

如何保障主機(jī)安全？安芯網(wǎng)盾找到了內(nèi)存安全這一突破口。

從內(nèi)存安全角度出發(fā)，姚紀(jì)衛(wèi)表示在企業(yè)網(wǎng)絡(luò)和業(yè)務(wù)內(nèi)外部環(huán)境越來(lái)越復(fù)雜的背景下，要主動(dòng)、全面地獲取各類主機(jī)信息，分析具體風(fēng)險(xiǎn)源，需要采取更底層的信息采集方式。

馮·諾依曼計(jì)算機(jī)體系結(jié)構(gòu)決定了任何數(shù)據(jù)都需要經(jīng)過(guò)CPU進(jìn)行運(yùn)算，其數(shù)據(jù)都需要經(jīng)過(guò)內(nèi)存進(jìn)行存儲(chǔ)。

 從2006年開(kāi)始，姚紀(jì)衛(wèi)就開(kāi)始做高級(jí)威脅防護(hù)研究，他發(fā)現(xiàn)無(wú)論威脅、攻擊如何變換，惡意代碼始終存在于內(nèi)存，也終將依賴CPU執(zhí)行。

某種程度上，通過(guò)監(jiān)控CPU指令并結(jié)合上下文分析可以監(jiān)控系統(tǒng)、程序的各種行為動(dòng)作，另外通過(guò)內(nèi)存虛擬化等技術(shù)可以監(jiān)控內(nèi)存的讀、寫(xiě)、執(zhí)行行為，然后結(jié)合關(guān)聯(lián)行為分析模塊，可以有效防御各種威脅。

“把安全產(chǎn)品的防護(hù)能力從應(yīng)用層、系統(tǒng)層下沉到硬件虛擬化層，從內(nèi)存方面著手進(jìn)行威脅的檢測(cè)和防護(hù)，也就是“內(nèi)存安全”，我們希望借此解決最令行業(yè)頭疼的威脅?！?/p>

正如前文所述，基于內(nèi)存安全的產(chǎn)品確有諸多獨(dú)特優(yōu)勢(shì)。

1、更底層的監(jiān)控。

大趨勢(shì)下，為了提高自身安全性，操作系統(tǒng)趨向收縮第三方軟件的權(quán)限，封閉性逐漸增強(qiáng)。這意味著，通過(guò)傳統(tǒng)API Hook的監(jiān)控方式能力越來(lái)越受限，傳統(tǒng)防護(hù)手段效果變?nèi)?，只在?yīng)用層或系統(tǒng)層進(jìn)行防護(hù)的產(chǎn)品很難第一時(shí)間發(fā)現(xiàn)并阻斷威脅，最終導(dǎo)致數(shù)據(jù)量減少、檢測(cè)率低、誤報(bào)率高。

內(nèi)存保護(hù)技術(shù)能有效繞開(kāi)當(dāng)前操作系統(tǒng)的一些限制（比如PatchGuard等），實(shí)現(xiàn)對(duì)系統(tǒng)中各類行為的有效監(jiān)控。

2、0延時(shí)、實(shí)時(shí)響應(yīng)。

云端分析的過(guò)程，是將所有數(shù)據(jù)上傳到服務(wù)器，分析完后將結(jié)果反饋給客戶端，客戶端再進(jìn)行處理。云端分析的效果得到保證，但中間存在延時(shí)。不少方案正是通過(guò)在云端進(jìn)行數(shù)據(jù)分析的方式發(fā)現(xiàn)攻擊，再給報(bào)警并響應(yīng)。

“可能分析結(jié)果還未傳達(dá)到客戶端，病毒破壞完已經(jīng)走了?！?/p>

使用內(nèi)存保護(hù)技術(shù)，基于CPU指令集的監(jiān)控，進(jìn)行細(xì)粒度跟蹤、監(jiān)控系統(tǒng)的各類行為動(dòng)作，這有利于在保證低誤報(bào)率的情況下，實(shí)時(shí)地在本地分析識(shí)別更多的威脅，這可以做到0延時(shí)、實(shí)時(shí)響應(yīng)，當(dāng)威脅出現(xiàn)時(shí)能第一時(shí)間告警響應(yīng)。

3、易于部署、穩(wěn)定性和兼容性強(qiáng)。

內(nèi)存保護(hù)系統(tǒng)支持一鍵部署，10分鐘可完成部署。目前已經(jīng)在客戶的超過(guò)10萬(wàn)臺(tái)服務(wù)器上穩(wěn)定運(yùn)行，兼容性、穩(wěn)定性得到充分驗(yàn)證。

精耕之路

其實(shí)，從內(nèi)存角度保護(hù)主機(jī)安全的思路并不復(fù)雜，但為什么此前少有企業(yè)專耕于此？

姚紀(jì)衛(wèi)告訴AI掘金志，總的來(lái)說(shuō)，相比其他安全產(chǎn)品，內(nèi)存保護(hù)技術(shù)的應(yīng)用，對(duì)技術(shù)者要求高，開(kāi)發(fā)難度更大。

既要懂安全，又要懂操作系統(tǒng)，需要熟悉操作體系結(jié)構(gòu)和系統(tǒng)原理，還需要熟悉各類攻擊方式。這方面的雙料人才比較少。也正因如此，此領(lǐng)域有大公司跟進(jìn)，但小公司跟進(jìn)的較少。

2005年，X86 CPU開(kāi)始引入硬件虛擬化技術(shù)，此后CPU也經(jīng)過(guò)多次迭代，硬件虛擬化技術(shù)也不斷完善，這為這項(xiàng)技術(shù)應(yīng)用于安全方向提供了良好的硬件基礎(chǔ)，大概在2010年開(kāi)始有人嘗試把這項(xiàng)技術(shù)應(yīng)用到安全上。

“安芯網(wǎng)盾是最早將內(nèi)存安全產(chǎn)品化的企業(yè)。”姚紀(jì)衛(wèi)說(shuō)道。

安芯網(wǎng)盾的人才積累、技術(shù)積累或許是原因之一。

安芯網(wǎng)盾創(chuàng)始團(tuán)隊(duì)在未知威脅防護(hù)的產(chǎn)品研發(fā)方面有十余年的技術(shù)積累。比如姚紀(jì)衛(wèi)自身也屬于既懂安全又精通系統(tǒng)架構(gòu)的雙料專家，他是國(guó)內(nèi)反病毒虛擬機(jī)技術(shù)開(kāi)拓者。

他是幾款著名的安全軟件如PCHunter、LinxerUnpacker的作者，前款被國(guó)際權(quán)威機(jī)構(gòu)評(píng)為全球最優(yōu)秀的AntiRootkit安全軟件，后款被評(píng)為當(dāng)時(shí)最強(qiáng)的基于反病毒虛擬機(jī)技術(shù)的通用脫殼機(jī)。

內(nèi)存保護(hù)系統(tǒng)的獨(dú)特之處

安芯網(wǎng)盾的安芯神甲智能內(nèi)存保護(hù)系統(tǒng)，采用硬件虛擬化技術(shù)、內(nèi)存行為分析技術(shù)、關(guān)聯(lián)分析技術(shù)，將產(chǎn)品的安全能力從應(yīng)用層、系統(tǒng)層下沉到硬件虛擬化層。

內(nèi)存保護(hù)系統(tǒng)并未采用通用的特征碼匹配檢測(cè)，而是檢測(cè)系統(tǒng)、程序內(nèi)部是否存在敏感行為、異常行為來(lái)確認(rèn)識(shí)別惡意程序。這一技術(shù)，可以靈敏的感知未知威脅，防御并終止無(wú)文件攻擊、0day攻擊等高級(jí)威脅。

 “因?yàn)楣魳颖究梢杂星f(wàn)甚至百億條，但不管樣本如何變換，樣本攻擊方式、主要?jiǎng)幼髌鋵?shí)變動(dòng)不大?！?/p>

 姚紀(jì)衛(wèi)指出，基于行為分析的檢測(cè)方案是目前整個(gè)安全行業(yè)在主機(jī)層面針對(duì)高級(jí)威脅檢測(cè)的共識(shí)，而基于行為分析的產(chǎn)品也將是未來(lái)的主流趨勢(shì)。不同的是，每家企業(yè)都有自己獨(dú)特的行為抓取方式，或通過(guò)應(yīng)用層、或通過(guò)驅(qū)動(dòng)層，但大多依然依附于操作系統(tǒng)之上。

為了抓取足夠全、足夠細(xì)的數(shù)據(jù)，安芯網(wǎng)盾通過(guò)硬件虛擬化技術(shù)，可以檢測(cè)0day攻擊、無(wú)文件攻擊等傳統(tǒng)安全軟件檢測(cè)能力薄弱的高級(jí)威脅。顯著提高減速率，據(jù)悉檢測(cè)率達(dá)90%以上。

此外，這一產(chǎn)品基于Agent架構(gòu)，啟動(dòng)相關(guān)服務(wù)和腳本即可運(yùn)行，而且在運(yùn)行時(shí)CPU占用率不超過(guò)5%，內(nèi)存占用率不超過(guò)100M。

在效果上可幫助客戶實(shí)現(xiàn)實(shí)時(shí)檢測(cè)攻擊，保護(hù)核心業(yè)務(wù)不被阻斷，核心數(shù)據(jù)資產(chǎn)不被竊取。安芯神甲可以有效檢測(cè)系統(tǒng)漏洞被利用過(guò)程，從而解決0day漏洞攻擊問(wèn)題。

主機(jī)安全的新力量

企業(yè)的核心數(shù)據(jù)資產(chǎn)在服務(wù)器上，只有做好主機(jī)層的安全防御，才能確保企業(yè)核心資產(chǎn)安全，保障業(yè)務(wù)的正常運(yùn)行。

經(jīng)過(guò)近2年的潛心研究與實(shí)踐，安芯網(wǎng)盾的內(nèi)存保護(hù)系統(tǒng)經(jīng)歷了前后多次的更新迭代,已經(jīng)服務(wù)了如海關(guān)、百度、金山、Google、G42等大型企事業(yè)客戶。

從功能來(lái)講，可以更好的幫助用戶進(jìn)行資產(chǎn)管理、日志管理、風(fēng)險(xiǎn)發(fā)現(xiàn)等功能場(chǎng)景需求，更細(xì)粒度的監(jiān)測(cè)服務(wù)器，確保主機(jī)資產(chǎn)的安全。

從應(yīng)用場(chǎng)景講，基于硬件虛擬化、內(nèi)存保護(hù)技術(shù)研發(fā)的智能內(nèi)存保護(hù)系統(tǒng)，可以更好的解決無(wú)文件攻擊、內(nèi)存馬攻擊、0day漏洞等高級(jí)威脅，彌補(bǔ)傳統(tǒng)防護(hù)工具的缺失，做好主機(jī)安全防護(hù)。

眼下，安芯網(wǎng)盾企業(yè)規(guī)模也呈倍增式增長(zhǎng)，成為主機(jī)安全市場(chǎng)的有力力量。

 “當(dāng)然，我們并不是要替代傳統(tǒng)安全方案，而是作為補(bǔ)充，去幫助客戶解決令他們頭疼的高級(jí)威脅?！?/p>

網(wǎng)絡(luò)安全江湖波譎云詭，黑白之間的攻守較量從未停歇，外御強(qiáng)敵唯有苦練內(nèi)功，寶劍出鞘時(shí)方能守護(hù)一方平安。

內(nèi)存保護(hù)系統(tǒng)可以說(shuō)是主動(dòng)防御體系強(qiáng)有力的補(bǔ)充，建立了縱深防御體系的最后一道防線，安芯網(wǎng)盾給市場(chǎng)帶來(lái)更多的可能。雷鋒網(wǎng)雷鋒網(wǎng)雷鋒網(wǎng)

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見(jiàn)轉(zhuǎn)載須知。