你可能不知道，你的一舉一動總是逃不過黑客的眼睛。

不久前，馬斯克和美國宇航局 NASA 首次發(fā)射了載人火箭，創(chuàng)造了航天史上的又一個奇跡。不料又被黑客盯上了，一個名為 DopplePaymer 的勒索團伙“高調(diào)”宣布他們?nèi)肭至艘患颐麨?DMI 的公司內(nèi)網(wǎng)，還留下了祝賀信息挑釁。而巧合的是，這家公司正是 NASA 的一家 IT 供應(yīng)商，這家公司的客戶名單里不乏全美前 100 強的公司和政府機構(gòu)。

圖片來源于ZDNet

而按照黑客的慣常思維，一般做法是要企業(yè)破財免災(zāi)，否則他們就會在泄密網(wǎng)站上公開所有文件作為報復(fù)。

一旦文件被泄露，后果怎樣，你懂的，所以企業(yè)的一般做法就是乖乖交贖金。

同期，Google 工程師統(tǒng)計了 2015 年以來，Chrome 穩(wěn)定分支中修復(fù)級別為 "high" 或 "critical" 的 912 個安全錯誤，結(jié)果發(fā)現(xiàn)約 70% 是內(nèi)存安全漏洞。 

但事實上，不只是 Google，內(nèi)存安全漏洞是很多科技公司都頭疼的問題，微軟工程師也曾公開表示：在過去 12 年中，微軟產(chǎn)品的安全更新中，約有 70% 也是在解決內(nèi)存安全漏洞。

隨著攻防對抗的發(fā)展，基于內(nèi)存的攻擊方法越來越多，比如 UAF、DoubleFree、堆棧溢出等類型漏洞都屬于內(nèi)存破壞型漏洞，我們所熟悉的心臟滴血、永恒之藍等大規(guī)模安全事件，就是內(nèi)存安全漏洞引發(fā)，而內(nèi)存攻擊的特性是沒有文件，所以即使企業(yè)或者組織采購了一系列安全產(chǎn)品，但是狡猾的攻擊者可以繞過這些安全產(chǎn)品。

于是，為了解決內(nèi)存安全問題，技術(shù)大佬們也是日思夜想，終于被他們找到了一條新的突破點：既然攻擊者狡猾，那我們就一個也不放過，從電腦的核心開始保護。

那么，這套內(nèi)存保護系統(tǒng)到底是什么？要怎么搞呢？

國內(nèi)第一個吃螃蟹的內(nèi)存安全公司

故事還要從兩個安全大佬的夢想說起。

2005 年，喜歡研究計算機病毒的姚紀(jì)衛(wèi)進入了一家反病毒安全公司施展抱負，2007 年便創(chuàng)作發(fā)布了 LinxerUnpacker 軟件。值得一提的是，該軟件是全球首款基于反病毒虛擬機的通用脫殼軟件。

安芯網(wǎng)盾 CTO 姚紀(jì)衛(wèi) 

2008 年又創(chuàng)作了 PChunter，該軟件基于國際領(lǐng)先的系統(tǒng)底層技術(shù)，同時也被國外媒體評為全球最優(yōu)秀的 AntiRootkit 軟件。

彼時，姜向前在哈爾濱工程大學(xué)留校工作，主導(dǎo)高校信息化建設(shè)，在學(xué)校時兩人便是極要好的朋友，工作之后也一直保持著密切的交流，探討著安全行業(yè)的未來發(fā)展趨勢。

當(dāng)時，殺毒軟件基本上還是利用特征碼去匹配，時效性不高，一旦出現(xiàn)新病毒或變種就需要不斷把它們的特征碼加入到病毒庫中，一來具有滯后性和被動性，二來病毒庫將越來越龐大，消耗用戶內(nèi)存資源，治標(biāo)不治本。

所以，為了改變現(xiàn)狀，兩人便萌生了創(chuàng)業(yè)的想法。

2009 年，兩人聯(lián)合創(chuàng)立了一個安全實驗室，專心做殺毒引擎。沒想到第一款產(chǎn)品就受到了國際認可，他們開發(fā)的基于代碼動態(tài)執(zhí)行分析分析的未知威脅文件檢測系統(tǒng)，在國際權(quán)威測評機構(gòu) VB100 的未知病毒檢測測評中獲得了全球第二的成績，并為 Google、華為等知名企業(yè)提供安全引擎。后來，受到免費殺毒軟件的沖擊，國內(nèi)企業(yè)級安全引擎市場逐步萎縮。

“在第一次創(chuàng)業(yè)后我們兩人還是在安全行業(yè)深耕，我還是繼續(xù)專研未知病毒的檢測與防護技術(shù)，也研究了很長時間的虛擬化技術(shù)。第二次創(chuàng)業(yè)緣起于我們的一次游泳，當(dāng)時我們聊起當(dāng)前的安全產(chǎn)品雖多，但是企業(yè)安全防御建設(shè)還是面臨大考?！币o(jì)衛(wèi)介紹。

2019 年兩人再次合伙，結(jié)合兩人這十來年在安全領(lǐng)域的摸索和經(jīng)驗，決定要繼續(xù)自己的夢想。

這一次他們的創(chuàng)業(yè)方向是內(nèi)存安全，將未知威脅檢測和硬件虛擬化結(jié)合在一起，在系統(tǒng)的最后一道防線來攔截威脅。即利用內(nèi)存虛擬化技術(shù)來做內(nèi)存保護。

“我們敢于去做這樣的嘗試，都是基于我們在未知威脅的程序行為分析、虛擬化技術(shù)研究這方面花了很長時間去研究，并總結(jié)了一套方法論，這也是短期內(nèi)難以被復(fù)制的。”姚紀(jì)衛(wèi)回憶起創(chuàng)業(yè)初衷時如是說。

值得注意的是，內(nèi)存保護技術(shù)首次提出是在 2016 年，IT 咨詢公司 Gartner 將基于非簽名方法的終端防御技術(shù)（內(nèi)存保護技術(shù)和漏洞利用阻斷技術(shù)）列為面向未來的十大信息安全技術(shù)之一，但是那時候并沒有相關(guān)的產(chǎn)品出現(xiàn)。

據(jù)了解，內(nèi)存保護系統(tǒng)不僅需要了解計算機體系結(jié)構(gòu)和操作系統(tǒng)，還需要了解安全技術(shù)。這些技術(shù)要求背后隱藏的是人才要求，內(nèi)存保護系統(tǒng)的實現(xiàn)需要有信息安全和計算機系統(tǒng)這兩個方面的技術(shù)專家。安芯網(wǎng)盾團隊剛好符合這兩個要求。

姚紀(jì)衛(wèi)對此解釋道：“不論威脅代碼如何變化，但是萬變不離其宗，不管攻擊方式怎么變，最后都要落到內(nèi)存讀、寫、執(zhí)行上，理論上基于 CPU 指令集和內(nèi)存這一層面實現(xiàn)的安全方案可以有效防御所有威脅，只要盯住內(nèi)存，就能發(fā)現(xiàn)威脅的一舉一動?！?/p>

談及內(nèi)存安全產(chǎn)品獲得關(guān)注的原因，姚紀(jì)衛(wèi)從攻防對抗的角度進行了解釋。

首先，攻擊者比之前更狡猾了，他們所使用的技術(shù)相比之前也更強大，目前有 80% 以上的攻擊者會熟練采用各式各樣工具突破層層網(wǎng)絡(luò)邊界防護，將惡意代碼植入到主機內(nèi)存上；其次是攻擊范圍更大，典型的例子是一些黑客將惡意代碼植入之后，可以長達幾個月甚至一兩年的時間不做任何動作，在長久的潛伏之后進行攻擊，被攻擊者的業(yè)務(wù)往往遭受毀滅型的打擊，這就意味著用戶需要更有效的安全方案應(yīng)對威脅。

在國外，解決內(nèi)存安全問題的相關(guān)內(nèi)存安全產(chǎn)品應(yīng)用已經(jīng)初具規(guī)模，美國公司 Virsec 也大致在同時期發(fā)布了內(nèi)存安全產(chǎn)品 AMFW，2018 年美國著名 IT 雜志 CRN將 內(nèi)存保護產(chǎn)品評為 20 個關(guān)鍵創(chuàng)新熱門安全產(chǎn)品中的 top1 。所以這樣說來安芯網(wǎng)盾算是國內(nèi)內(nèi)存安全領(lǐng)域第一個吃螃蟹的公司。

做安全的最后一道防線

各種安全產(chǎn)品就像一道道墻，每一道墻都是一套解決方案，不同于其他安全公司的產(chǎn)品，安芯網(wǎng)盾要做的是在最危險的地方做守衛(wèi)兵，從最底層守住安全防線。

那么，什么是內(nèi)存安全？

據(jù)姚紀(jì)衛(wèi)介紹，內(nèi)存安全的核心原理是從計算機的體系結(jié)構(gòu)出發(fā)，任何需要 CPU 執(zhí)行的代碼、處理的數(shù)據(jù)都需要經(jīng)過內(nèi)存進行存儲。內(nèi)存安全由內(nèi)存監(jiān)控、程序行為監(jiān)控、智能分析、系統(tǒng)安全增強和安全響應(yīng)等構(gòu)成，可阻止異常內(nèi)存訪問和惡意代碼執(zhí)行等攻擊行為，為計算機系統(tǒng)構(gòu)建一個完整的內(nèi)存安全環(huán)境。

守護主機的最后一道安全防線（受訪者供圖）

舉個栗子，以前敵人進攻的路徑大家是熟悉的，所以安全軟件在敵人必經(jīng)點設(shè)置了路障，自然就可以攔截，但現(xiàn)在情況不一樣了，隨著防御技術(shù)的升級，敵人的攻擊路徑也開始裂變，出現(xiàn)了多種未知威脅，對于這些未知威脅就需要全面排查，而安芯網(wǎng)盾做的就是在敵人入侵的最底層進行防護，實時監(jiān)測內(nèi)存狀態(tài)和程序行為狀態(tài)，每當(dāng)敵人想要入侵時，就可以并在第一時間識別威脅且進行響應(yīng)。

據(jù)最新數(shù)據(jù)，內(nèi)存保護系統(tǒng)在未知威脅方面的攔截能力能達到 99% 。那么，內(nèi)存保護系統(tǒng)是如何達到高效的防護效果的？

內(nèi)存上的動作傳統(tǒng)方法很難監(jiān)控，安芯網(wǎng)盾的內(nèi)存安全產(chǎn)品基于實時的程序行為監(jiān)控、內(nèi)存操作監(jiān)控等技術(shù)實現(xiàn)了進程級別的內(nèi)存保護，確保用戶核心業(yè)務(wù)應(yīng)用程序只按照預(yù)期的方式運行，不會因病毒竊取、漏洞觸發(fā)而遭受攻擊。不同于常規(guī)安全產(chǎn)品只運行在應(yīng)用層或者系統(tǒng)層，安芯神甲智能內(nèi)存保護系統(tǒng)能夠在應(yīng)用層、系統(tǒng)層、硬件層提供有機結(jié)合的立體防護。

簡單來說，內(nèi)存安全產(chǎn)品就是通過監(jiān)控 CPU 指令、內(nèi)存訪問可以監(jiān)控內(nèi)存代碼和數(shù)據(jù)狀態(tài)以及內(nèi)存的讀、寫、執(zhí)行行為，對系統(tǒng)行為做監(jiān)控，基本可以監(jiān)控系統(tǒng)所有的 API 調(diào)用（只要進內(nèi)核就會被監(jiān)控到，不進內(nèi)核的 API 其實也干不了什么事情），還可以監(jiān)控一些異常的內(nèi)存數(shù)據(jù)流動，大量的行為數(shù)據(jù)可以極大的提高惡意代碼的檢出率，還能極大的規(guī)避誤報。同時，還避免了其他安全產(chǎn)品所面臨的兼容性問題，以及安全軟件之間的沖突問題。

除此之外，內(nèi)存保護系統(tǒng)基于 Agent 架構(gòu)，啟動相關(guān)服務(wù)和腳本即可運行，而且在運行時 CPU 占用率不超過 5%，內(nèi)存占用率不超過 100M。而且，這款產(chǎn)品在運行時對客戶來說幾乎是無感知的——由于實時響應(yīng)的特性，用戶在最后看到的只是一份報告/日志用以定期查閱，但在系統(tǒng)運行過程中已經(jīng)幫助客戶抵御了許多攻擊。

在內(nèi)存產(chǎn)品的應(yīng)用場景方面，姚紀(jì)衛(wèi)認為，前景是十分廣闊的。

安芯網(wǎng)盾內(nèi)存安全產(chǎn)品核心優(yōu)勢（受訪者供圖）

結(jié)合當(dāng)前的大環(huán)境來講，新基建推動信創(chuàng)產(chǎn)業(yè)提速發(fā)展，它包含了從 IT 底層基礎(chǔ)軟硬件到上層應(yīng)用軟件的全產(chǎn)業(yè)鏈的安全可控。這拓寬了安芯網(wǎng)盾內(nèi)存安全產(chǎn)品的應(yīng)用場景和市場，目前，安芯網(wǎng)盾的產(chǎn)品已經(jīng)支持 X86 和 arm 架構(gòu)的 CPU，以后將逐步適配更多國產(chǎn)架構(gòu)的 CPU。

 隨著“等?！薄ⅰ瓣P(guān)?！钡日叩穆涞?，以及新基建將信息安全提到一個新高度，不再像以往一樣先系統(tǒng)運行，再購買產(chǎn)品服務(wù)層層的打補丁?，F(xiàn)在要求關(guān)口前移，在設(shè)計之初就統(tǒng)籌規(guī)劃安全。這給了新產(chǎn)品新技術(shù)一個大好機會，一些真正有效的預(yù)警、檢測、防御等產(chǎn)品，比如內(nèi)存防火墻這類創(chuàng)新產(chǎn)品也正受到越來越多 CSO 的青睞。

雷鋒網(wǎng)雷鋒網(wǎng)雷鋒網(wǎng)

參考資料：

【1】https://www.zdnet.com/article/chrome-70-of-all-security-bugs-are-memory-safety-issues/

【2】https://www.zdnet.com/article/ransomware-gang-says-it-breached-one-of-nasas-it-contractors/

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。