抵御高級威脅，安芯網盾的內存安全「突圍戰」

網絡安全這個世界，不缺新故事，也不曾缺新朋友。

如今的安全圈，老牌企業制霸一方，各界巨頭跨界斗法，高手如云。

但寬廣又擁擠的賽道里，依然不乏新生力量，從細分領域里突出重圍，走到大眾眼前。

安芯網盾算一個。

這家企業，從安全行業眾多細分領域中，選擇了“內存安全”這一領域，以“國內首家基于硬件虛擬化技術架構，建立縱深防御體系最后一道安全防線”為登場人設，吸引了人們的目光。

為何選擇內存安全？它能幫助客戶解決什么網絡安全問題？就以上問題，AI掘金志與安芯網盾的創始人兼CTO姚紀衛進行了一次談話。

傳統安全邊界的裂縫

“比如前幾天我們剛剛幫客戶攔截的Purple Fox木馬，就能夠隱藏惡意代碼去繞過大部分常規檢測防御產品，其攻擊行為都是在內存中進行，攻擊者會使用PowerShell腳本來實現無文件攻擊，并利用漏洞提權。”

在虛擬的世界里，對抗從未停止，道高一尺，魔高一丈的戲碼此起彼伏。

新的攻擊手段正在打破傳統安全邊界，這一點毋庸置疑。那么，攻擊者為什么青睞選用無文件等高級威脅手段進行攻擊呢？

姚紀衛指出，原因有四：

1、基于文件監控、檢測技術的方法，無法識別基于內存的攻擊。

2、基于日志或流量同樣無法檢測基于內存的攻擊行為。 

3、基于內存的攻擊，有些惡意代碼不在磁盤上落地，更隱蔽。 

4、現有安全防護體系缺乏強勁的運行時保護能力。

從20世紀90年代至今，網絡安全經歷過邊界防御、端點防御階段。眼下的形勢，需要增強端點行為分析能力，提高“實時檢測和響應”能力。

大部分安全產品會有各自的優勢，也不可避免有難以忽略的劣勢，尤其在新型威脅面前。比如像EDR軟件，它會更注重數據的采集，把采集到的數據放入Server端，在Server端做大數據分析，分析識別威脅。

這些傳統的安全產品肯定也能解決一些安全問題，但是它存在兩個弊端，一是現在操作系統越來越封閉（如：Windows 64位系統已經不允許掛鉤子了），這會導致這些軟件的采集數據的能力越來越弱，二是有些軟件把數據上報到Server端分析，等Server端分析出來威脅，Agent端已經無法阻斷響應了，威脅已經運行完畢，正因這有延時，無法實時響應。因此它們無法提供強勁的運行時保護能力。

而內存保護產品雖然也是在本地采集數據做分析，但為了采集更多的數據，它需突破系統的一些限制，它會采用硬件虛擬化等前沿技術做指令集監控分析收集數據；它更注重本地單機的分析能力，對采集到的數據盡量在本地形成分析能力，不會過度依賴Server端，本地的分析能力發現威脅后能立馬實時響應，因此它具有強勁的運行時保護能力。

 正因如此，”當前的主機安全解決方案應該使用更底層技術去實現防護”，姚紀衛說道。

最后一道防線

由于企業的核心數據資產在服務器上，這也正是0day、無文件攻擊等高級威脅將主機作為主要攻擊目標的原因。

如何保障主機安全？安芯網盾找到了內存安全這一突破口。

從內存安全角度出發，姚紀衛表示在企業網絡和業務內外部環境越來越復雜的背景下，要主動、全面地獲取各類主機信息，分析具體風險源，需要采取更底層的信息采集方式。

馮·諾依曼計算機體系結構決定了任何數據都需要經過CPU進行運算，其數據都需要經過內存進行存儲。

 從2006年開始，姚紀衛就開始做高級威脅防護研究，他發現無論威脅、攻擊如何變換，惡意代碼始終存在于內存，也終將依賴CPU執行。

某種程度上，通過監控CPU指令并結合上下文分析可以監控系統、程序的各種行為動作，另外通過內存虛擬化等技術可以監控內存的讀、寫、執行行為，然后結合關聯行為分析模塊，可以有效防御各種威脅。

“把安全產品的防護能力從應用層、系統層下沉到硬件虛擬化層，從內存方面著手進行威脅的檢測和防護，也就是“內存安全”，我們希望借此解決最令行業頭疼的威脅。”

正如前文所述，基于內存安全的產品確有諸多獨特優勢。

1、更底層的監控。

大趨勢下，為了提高自身安全性，操作系統趨向收縮第三方軟件的權限，封閉性逐漸增強。這意味著，通過傳統API Hook的監控方式能力越來越受限，傳統防護手段效果變弱，只在應用層或系統層進行防護的產品很難第一時間發現并阻斷威脅，最終導致數據量減少、檢測率低、誤報率高。

內存保護技術能有效繞開當前操作系統的一些限制（比如PatchGuard等），實現對系統中各類行為的有效監控。

2、0延時、實時響應。

云端分析的過程，是將所有數據上傳到服務器，分析完后將結果反饋給客戶端，客戶端再進行處理。云端分析的效果得到保證，但中間存在延時。不少方案正是通過在云端進行數據分析的方式發現攻擊，再給報警并響應。

“可能分析結果還未傳達到客戶端，病毒破壞完已經走了。”

使用內存保護技術，基于CPU指令集的監控，進行細粒度跟蹤、監控系統的各類行為動作，這有利于在保證低誤報率的情況下，實時地在本地分析識別更多的威脅，這可以做到0延時、實時響應，當威脅出現時能第一時間告警響應。

3、易于部署、穩定性和兼容性強。

內存保護系統支持一鍵部署，10分鐘可完成部署。目前已經在客戶的超過10萬臺服務器上穩定運行，兼容性、穩定性得到充分驗證。

精耕之路

其實，從內存角度保護主機安全的思路并不復雜，但為什么此前少有企業專耕于此？

姚紀衛告訴AI掘金志，總的來說，相比其他安全產品，內存保護技術的應用，對技術者要求高，開發難度更大。

既要懂安全，又要懂操作系統，需要熟悉操作體系結構和系統原理，還需要熟悉各類攻擊方式。這方面的雙料人才比較少。也正因如此，此領域有大公司跟進，但小公司跟進的較少。

2005年，X86 CPU開始引入硬件虛擬化技術，此后CPU也經過多次迭代，硬件虛擬化技術也不斷完善，這為這項技術應用于安全方向提供了良好的硬件基礎，大概在2010年開始有人嘗試把這項技術應用到安全上。

“安芯網盾是最早將內存安全產品化的企業。”姚紀衛說道。

安芯網盾的人才積累、技術積累或許是原因之一。

安芯網盾創始團隊在未知威脅防護的產品研發方面有十余年的技術積累。比如姚紀衛自身也屬于既懂安全又精通系統架構的雙料專家，他是國內反病毒虛擬機技術開拓者。

他是幾款著名的安全軟件如PCHunter、LinxerUnpacker的作者，前款被國際權威機構評為全球最優秀的AntiRootkit安全軟件，后款被評為當時最強的基于反病毒虛擬機技術的通用脫殼機。

內存保護系統的獨特之處

安芯網盾的安芯神甲智能內存保護系統，采用硬件虛擬化技術、內存行為分析技術、關聯分析技術，將產品的安全能力從應用層、系統層下沉到硬件虛擬化層。

內存保護系統并未采用通用的特征碼匹配檢測，而是檢測系統、程序內部是否存在敏感行為、異常行為來確認識別惡意程序。這一技術，可以靈敏的感知未知威脅，防御并終止無文件攻擊、0day攻擊等高級威脅。

 “因為攻擊樣本可以有千萬甚至百億條，但不管樣本如何變換，樣本攻擊方式、主要動作其實變動不大。”

 姚紀衛指出，基于行為分析的檢測方案是目前整個安全行業在主機層面針對高級威脅檢測的共識，而基于行為分析的產品也將是未來的主流趨勢。不同的是，每家企業都有自己獨特的行為抓取方式，或通過應用層、或通過驅動層，但大多依然依附于操作系統之上。

為了抓取足夠全、足夠細的數據，安芯網盾通過硬件虛擬化技術，可以檢測0day攻擊、無文件攻擊等傳統安全軟件檢測能力薄弱的高級威脅。顯著提高減速率，據悉檢測率達90%以上。

此外，這一產品基于Agent架構，啟動相關服務和腳本即可運行，而且在運行時CPU占用率不超過5%，內存占用率不超過100M。

在效果上可幫助客戶實現實時檢測攻擊，保護核心業務不被阻斷，核心數據資產不被竊取。安芯神甲可以有效檢測系統漏洞被利用過程，從而解決0day漏洞攻擊問題。

主機安全的新力量

企業的核心數據資產在服務器上，只有做好主機層的安全防御，才能確保企業核心資產安全，保障業務的正常運行。

經過近2年的潛心研究與實踐，安芯網盾的內存保護系統經歷了前后多次的更新迭代,已經服務了如海關、百度、金山、Google、G42等大型企事業客戶。

從功能來講，可以更好的幫助用戶進行資產管理、日志管理、風險發現等功能場景需求，更細粒度的監測服務器，確保主機資產的安全。

從應用場景講，基于硬件虛擬化、內存保護技術研發的智能內存保護系統，可以更好的解決無文件攻擊、內存馬攻擊、0day漏洞等高級威脅，彌補傳統防護工具的缺失，做好主機安全防護。

眼下，安芯網盾企業規模也呈倍增式增長，成為主機安全市場的有力力量。

 “當然，我們并不是要替代傳統安全方案，而是作為補充，去幫助客戶解決令他們頭疼的高級威脅。”

網絡安全江湖波譎云詭，黑白之間的攻守較量從未停歇，外御強敵唯有苦練內功，寶劍出鞘時方能守護一方平安。

內存保護系統可以說是主動防御體系強有力的補充，建立了縱深防御體系的最后一道防線，安芯網盾給市場帶來更多的可能。雷鋒網雷鋒網雷鋒網

雷峰網原創文章，未經授權禁止轉載。詳情見轉載須知。