你可能不知道，你的一舉一動(dòng)總是逃不過黑客的眼睛。

不久前，馬斯克和美國(guó)宇航局 NASA 首次發(fā)射了載人火箭，創(chuàng)造了航天史上的又一個(gè)奇跡。不料又被黑客盯上了，一個(gè)名為 DopplePaymer 的勒索團(tuán)伙“高調(diào)”宣布他們?nèi)肭至艘患颐麨?DMI 的公司內(nèi)網(wǎng)，還留下了祝賀信息挑釁。而巧合的是，這家公司正是 NASA 的一家 IT 供應(yīng)商，這家公司的客戶名單里不乏全美前 100 強(qiáng)的公司和政府機(jī)構(gòu)。

圖片來源于ZDNet

而按照黑客的慣常思維，一般做法是要企業(yè)破財(cái)免災(zāi)，否則他們就會(huì)在泄密網(wǎng)站上公開所有文件作為報(bào)復(fù)。

一旦文件被泄露，后果怎樣，你懂的，所以企業(yè)的一般做法就是乖乖交贖金。

同期，Google 工程師統(tǒng)計(jì)了 2015 年以來，Chrome 穩(wěn)定分支中修復(fù)級(jí)別為 "high" 或 "critical" 的 912 個(gè)安全錯(cuò)誤，結(jié)果發(fā)現(xiàn)約 70% 是內(nèi)存安全漏洞。 

但事實(shí)上，不只是 Google，內(nèi)存安全漏洞是很多科技公司都頭疼的問題，微軟工程師也曾公開表示：在過去 12 年中，微軟產(chǎn)品的安全更新中，約有 70% 也是在解決內(nèi)存安全漏洞。

隨著攻防對(duì)抗的發(fā)展，基于內(nèi)存的攻擊方法越來越多，比如 UAF、DoubleFree、堆棧溢出等類型漏洞都屬于內(nèi)存破壞型漏洞，我們所熟悉的心臟滴血、永恒之藍(lán)等大規(guī)模安全事件，就是內(nèi)存安全漏洞引發(fā)，而內(nèi)存攻擊的特性是沒有文件，所以即使企業(yè)或者組織采購(gòu)了一系列安全產(chǎn)品，但是狡猾的攻擊者可以繞過這些安全產(chǎn)品。

于是，為了解決內(nèi)存安全問題，技術(shù)大佬們也是日思夜想，終于被他們找到了一條新的突破點(diǎn)：既然攻擊者狡猾，那我們就一個(gè)也不放過，從電腦的核心開始保護(hù)。

那么，這套內(nèi)存保護(hù)系統(tǒng)到底是什么？要怎么搞呢？

國(guó)內(nèi)第一個(gè)吃螃蟹的內(nèi)存安全公司

故事還要從兩個(gè)安全大佬的夢(mèng)想說起。

2005 年，喜歡研究計(jì)算機(jī)病毒的姚紀(jì)衛(wèi)進(jìn)入了一家反病毒安全公司施展抱負(fù)，2007 年便創(chuàng)作發(fā)布了 LinxerUnpacker 軟件。值得一提的是，該軟件是全球首款基于反病毒虛擬機(jī)的通用脫殼軟件。

安芯網(wǎng)盾 CTO 姚紀(jì)衛(wèi) 

2008 年又創(chuàng)作了 PChunter，該軟件基于國(guó)際領(lǐng)先的系統(tǒng)底層技術(shù)，同時(shí)也被國(guó)外媒體評(píng)為全球最優(yōu)秀的 AntiRootkit 軟件。

彼時(shí)，姜向前在哈爾濱工程大學(xué)留校工作，主導(dǎo)高校信息化建設(shè)，在學(xué)校時(shí)兩人便是極要好的朋友，工作之后也一直保持著密切的交流，探討著安全行業(yè)的未來發(fā)展趨勢(shì)。

當(dāng)時(shí)，殺毒軟件基本上還是利用特征碼去匹配，時(shí)效性不高，一旦出現(xiàn)新病毒或變種就需要不斷把它們的特征碼加入到病毒庫中，一來具有滯后性和被動(dòng)性，二來病毒庫將越來越龐大，消耗用戶內(nèi)存資源，治標(biāo)不治本。

所以，為了改變現(xiàn)狀，兩人便萌生了創(chuàng)業(yè)的想法。

2009 年，兩人聯(lián)合創(chuàng)立了一個(gè)安全實(shí)驗(yàn)室，專心做殺毒引擎。沒想到第一款產(chǎn)品就受到了國(guó)際認(rèn)可，他們開發(fā)的基于代碼動(dòng)態(tài)執(zhí)行分析分析的未知威脅文件檢測(cè)系統(tǒng)，在國(guó)際權(quán)威測(cè)評(píng)機(jī)構(gòu) VB100 的未知病毒檢測(cè)測(cè)評(píng)中獲得了全球第二的成績(jī)，并為 Google、華為等知名企業(yè)提供安全引擎。后來，受到免費(fèi)殺毒軟件的沖擊，國(guó)內(nèi)企業(yè)級(jí)安全引擎市場(chǎng)逐步萎縮。

“在第一次創(chuàng)業(yè)后我們兩人還是在安全行業(yè)深耕，我還是繼續(xù)專研未知病毒的檢測(cè)與防護(hù)技術(shù)，也研究了很長(zhǎng)時(shí)間的虛擬化技術(shù)。第二次創(chuàng)業(yè)緣起于我們的一次游泳，當(dāng)時(shí)我們聊起當(dāng)前的安全產(chǎn)品雖多，但是企業(yè)安全防御建設(shè)還是面臨大考?！币o(jì)衛(wèi)介紹。

2019 年兩人再次合伙，結(jié)合兩人這十來年在安全領(lǐng)域的摸索和經(jīng)驗(yàn)，決定要繼續(xù)自己的夢(mèng)想。

這一次他們的創(chuàng)業(yè)方向是內(nèi)存安全，將未知威脅檢測(cè)和硬件虛擬化結(jié)合在一起，在系統(tǒng)的最后一道防線來攔截威脅。即利用內(nèi)存虛擬化技術(shù)來做內(nèi)存保護(hù)。

“我們敢于去做這樣的嘗試，都是基于我們?cè)谖粗{的程序行為分析、虛擬化技術(shù)研究這方面花了很長(zhǎng)時(shí)間去研究，并總結(jié)了一套方法論，這也是短期內(nèi)難以被復(fù)制的?！币o(jì)衛(wèi)回憶起創(chuàng)業(yè)初衷時(shí)如是說。

值得注意的是，內(nèi)存保護(hù)技術(shù)首次提出是在 2016 年，IT 咨詢公司 Gartner 將基于非簽名方法的終端防御技術(shù)（內(nèi)存保護(hù)技術(shù)和漏洞利用阻斷技術(shù)）列為面向未來的十大信息安全技術(shù)之一，但是那時(shí)候并沒有相關(guān)的產(chǎn)品出現(xiàn)。

據(jù)了解，內(nèi)存保護(hù)系統(tǒng)不僅需要了解計(jì)算機(jī)體系結(jié)構(gòu)和操作系統(tǒng)，還需要了解安全技術(shù)。這些技術(shù)要求背后隱藏的是人才要求，內(nèi)存保護(hù)系統(tǒng)的實(shí)現(xiàn)需要有信息安全和計(jì)算機(jī)系統(tǒng)這兩個(gè)方面的技術(shù)專家。安芯網(wǎng)盾團(tuán)隊(duì)剛好符合這兩個(gè)要求。

姚紀(jì)衛(wèi)對(duì)此解釋道：“不論威脅代碼如何變化，但是萬變不離其宗，不管攻擊方式怎么變，最后都要落到內(nèi)存讀、寫、執(zhí)行上，理論上基于 CPU 指令集和內(nèi)存這一層面實(shí)現(xiàn)的安全方案可以有效防御所有威脅，只要盯住內(nèi)存，就能發(fā)現(xiàn)威脅的一舉一動(dòng)?！?/p>

談及內(nèi)存安全產(chǎn)品獲得關(guān)注的原因，姚紀(jì)衛(wèi)從攻防對(duì)抗的角度進(jìn)行了解釋。

首先，攻擊者比之前更狡猾了，他們所使用的技術(shù)相比之前也更強(qiáng)大，目前有 80% 以上的攻擊者會(huì)熟練采用各式各樣工具突破層層網(wǎng)絡(luò)邊界防護(hù)，將惡意代碼植入到主機(jī)內(nèi)存上；其次是攻擊范圍更大，典型的例子是一些黑客將惡意代碼植入之后，可以長(zhǎng)達(dá)幾個(gè)月甚至一兩年的時(shí)間不做任何動(dòng)作，在長(zhǎng)久的潛伏之后進(jìn)行攻擊，被攻擊者的業(yè)務(wù)往往遭受毀滅型的打擊，這就意味著用戶需要更有效的安全方案應(yīng)對(duì)威脅。

在國(guó)外，解決內(nèi)存安全問題的相關(guān)內(nèi)存安全產(chǎn)品應(yīng)用已經(jīng)初具規(guī)模，美國(guó)公司 Virsec 也大致在同時(shí)期發(fā)布了內(nèi)存安全產(chǎn)品 AMFW，2018 年美國(guó)著名 IT 雜志 CRN將 內(nèi)存保護(hù)產(chǎn)品評(píng)為 20 個(gè)關(guān)鍵創(chuàng)新熱門安全產(chǎn)品中的 top1 。所以這樣說來安芯網(wǎng)盾算是國(guó)內(nèi)內(nèi)存安全領(lǐng)域第一個(gè)吃螃蟹的公司。

做安全的最后一道防線

各種安全產(chǎn)品就像一道道墻，每一道墻都是一套解決方案，不同于其他安全公司的產(chǎn)品，安芯網(wǎng)盾要做的是在最危險(xiǎn)的地方做守衛(wèi)兵，從最底層守住安全防線。

那么，什么是內(nèi)存安全？

據(jù)姚紀(jì)衛(wèi)介紹，內(nèi)存安全的核心原理是從計(jì)算機(jī)的體系結(jié)構(gòu)出發(fā)，任何需要 CPU 執(zhí)行的代碼、處理的數(shù)據(jù)都需要經(jīng)過內(nèi)存進(jìn)行存儲(chǔ)。內(nèi)存安全由內(nèi)存監(jiān)控、程序行為監(jiān)控、智能分析、系統(tǒng)安全增強(qiáng)和安全響應(yīng)等構(gòu)成，可阻止異常內(nèi)存訪問和惡意代碼執(zhí)行等攻擊行為，為計(jì)算機(jī)系統(tǒng)構(gòu)建一個(gè)完整的內(nèi)存安全環(huán)境。

守護(hù)主機(jī)的最后一道安全防線（受訪者供圖）

舉個(gè)栗子，以前敵人進(jìn)攻的路徑大家是熟悉的，所以安全軟件在敵人必經(jīng)點(diǎn)設(shè)置了路障，自然就可以攔截，但現(xiàn)在情況不一樣了，隨著防御技術(shù)的升級(jí)，敵人的攻擊路徑也開始裂變，出現(xiàn)了多種未知威脅，對(duì)于這些未知威脅就需要全面排查，而安芯網(wǎng)盾做的就是在敵人入侵的最底層進(jìn)行防護(hù)，實(shí)時(shí)監(jiān)測(cè)內(nèi)存狀態(tài)和程序行為狀態(tài)，每當(dāng)敵人想要入侵時(shí)，就可以并在第一時(shí)間識(shí)別威脅且進(jìn)行響應(yīng)。

據(jù)最新數(shù)據(jù)，內(nèi)存保護(hù)系統(tǒng)在未知威脅方面的攔截能力能達(dá)到 99% 。那么，內(nèi)存保護(hù)系統(tǒng)是如何達(dá)到高效的防護(hù)效果的？

內(nèi)存上的動(dòng)作傳統(tǒng)方法很難監(jiān)控，安芯網(wǎng)盾的內(nèi)存安全產(chǎn)品基于實(shí)時(shí)的程序行為監(jiān)控、內(nèi)存操作監(jiān)控等技術(shù)實(shí)現(xiàn)了進(jìn)程級(jí)別的內(nèi)存保護(hù)，確保用戶核心業(yè)務(wù)應(yīng)用程序只按照預(yù)期的方式運(yùn)行，不會(huì)因病毒竊取、漏洞觸發(fā)而遭受攻擊。不同于常規(guī)安全產(chǎn)品只運(yùn)行在應(yīng)用層或者系統(tǒng)層，安芯神甲智能內(nèi)存保護(hù)系統(tǒng)能夠在應(yīng)用層、系統(tǒng)層、硬件層提供有機(jī)結(jié)合的立體防護(hù)。

簡(jiǎn)單來說，內(nèi)存安全產(chǎn)品就是通過監(jiān)控 CPU 指令、內(nèi)存訪問可以監(jiān)控內(nèi)存代碼和數(shù)據(jù)狀態(tài)以及內(nèi)存的讀、寫、執(zhí)行行為，對(duì)系統(tǒng)行為做監(jiān)控，基本可以監(jiān)控系統(tǒng)所有的 API 調(diào)用（只要進(jìn)內(nèi)核就會(huì)被監(jiān)控到，不進(jìn)內(nèi)核的 API 其實(shí)也干不了什么事情），還可以監(jiān)控一些異常的內(nèi)存數(shù)據(jù)流動(dòng)，大量的行為數(shù)據(jù)可以極大的提高惡意代碼的檢出率，還能極大的規(guī)避誤報(bào)。同時(shí)，還避免了其他安全產(chǎn)品所面臨的兼容性問題，以及安全軟件之間的沖突問題。

除此之外，內(nèi)存保護(hù)系統(tǒng)基于 Agent 架構(gòu)，啟動(dòng)相關(guān)服務(wù)和腳本即可運(yùn)行，而且在運(yùn)行時(shí) CPU 占用率不超過 5%，內(nèi)存占用率不超過 100M。而且，這款產(chǎn)品在運(yùn)行時(shí)對(duì)客戶來說幾乎是無感知的——由于實(shí)時(shí)響應(yīng)的特性，用戶在最后看到的只是一份報(bào)告/日志用以定期查閱，但在系統(tǒng)運(yùn)行過程中已經(jīng)幫助客戶抵御了許多攻擊。

在內(nèi)存產(chǎn)品的應(yīng)用場(chǎng)景方面，姚紀(jì)衛(wèi)認(rèn)為，前景是十分廣闊的。

安芯網(wǎng)盾內(nèi)存安全產(chǎn)品核心優(yōu)勢(shì)（受訪者供圖）

結(jié)合當(dāng)前的大環(huán)境來講，新基建推動(dòng)信創(chuàng)產(chǎn)業(yè)提速發(fā)展，它包含了從 IT 底層基礎(chǔ)軟硬件到上層應(yīng)用軟件的全產(chǎn)業(yè)鏈的安全可控。這拓寬了安芯網(wǎng)盾內(nèi)存安全產(chǎn)品的應(yīng)用場(chǎng)景和市場(chǎng)，目前，安芯網(wǎng)盾的產(chǎn)品已經(jīng)支持 X86 和 arm 架構(gòu)的 CPU，以后將逐步適配更多國(guó)產(chǎn)架構(gòu)的 CPU。

 隨著“等?！薄ⅰ瓣P(guān)?！钡日叩穆涞?，以及新基建將信息安全提到一個(gè)新高度，不再像以往一樣先系統(tǒng)運(yùn)行，再購(gòu)買產(chǎn)品服務(wù)層層的打補(bǔ)丁?，F(xiàn)在要求關(guān)口前移，在設(shè)計(jì)之初就統(tǒng)籌規(guī)劃安全。這給了新產(chǎn)品新技術(shù)一個(gè)大好機(jī)會(huì)，一些真正有效的預(yù)警、檢測(cè)、防御等產(chǎn)品，比如內(nèi)存防火墻這類創(chuàng)新產(chǎn)品也正受到越來越多 CSO 的青睞。

雷鋒網(wǎng)雷鋒網(wǎng)雷鋒網(wǎng)

參考資料：

【1】https://www.zdnet.com/article/chrome-70-of-all-security-bugs-are-memory-safety-issues/

【2】https://www.zdnet.com/article/ransomware-gang-says-it-breached-one-of-nasas-it-contractors/

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。