如今網(wǎng)絡(luò)攻擊正在給企業(yè)帶來嚴(yán)重威脅，思科2019年首席信息安全官（CISO）基準(zhǔn)研究報(bào)告顯示，在亞太地區(qū)網(wǎng)絡(luò)攻擊導(dǎo)致的損失呈上升趨勢(shì)，有16%的公司在過去一年因最嚴(yán)重的攻擊行為所導(dǎo)致的財(cái)務(wù)損失超過500萬美元。

面對(duì)新技術(shù)的發(fā)展帶來攻守之勢(shì)的變化，網(wǎng)絡(luò)安全需要?jiǎng)?chuàng)新技術(shù)方能應(yīng)對(duì)。事實(shí)上，網(wǎng)絡(luò)安全領(lǐng)域也從不缺乏創(chuàng)新的基因，特別是近年來層出不窮的安全新技術(shù)給網(wǎng)絡(luò)安全領(lǐng)域帶來新的活力。安芯網(wǎng)盾（北京）科技有限公司（以下簡稱“安芯網(wǎng)盾”）就是一家極具創(chuàng)新力的初創(chuàng)安全公司，是國內(nèi)第一家基于硬件虛擬化等前沿技術(shù)保護(hù)企業(yè)主機(jī)安全的技術(shù)服務(wù)商。《網(wǎng)絡(luò)安全和信息化》雜志記者專訪了安芯網(wǎng)盾CEO姜向前和CTO姚紀(jì)衛(wèi)兩位安全大咖，聊一聊關(guān)于安芯網(wǎng)盾獨(dú)特的內(nèi)存保護(hù)技術(shù)是如何防護(hù)企業(yè)主機(jī)安全的。

打破安全邊界，回歸安全本質(zhì)，防護(hù)主機(jī)安全

安芯網(wǎng)盾CEO 姜向前

安芯網(wǎng)盾CTO 姚紀(jì)衛(wèi)
 

在談到主機(jī)安全防護(hù)方面，安芯網(wǎng)盾CEO姜向前表示，“面對(duì)傳統(tǒng)網(wǎng)絡(luò)安全邊界防護(hù)逐漸失效的現(xiàn)狀，我們應(yīng)當(dāng)轉(zhuǎn)變觀念，網(wǎng)絡(luò)安全應(yīng)當(dāng)回歸到安全的本質(zhì)上來，企業(yè)的核心數(shù)據(jù)資產(chǎn)在主機(jī)上，因此確保企業(yè)業(yè)務(wù)安全就要保障主機(jī)的安全。”

目前專注于主機(jī)安全防護(hù)的安全公司不在少數(shù)，且憑借各自的安全理念和擅長的安全技術(shù)深耕于主機(jī)安全領(lǐng)域。有憑借EDR（端點(diǎn)檢測(cè)與響應(yīng)）技術(shù)應(yīng)用于主機(jī)入侵防御系統(tǒng)，實(shí)現(xiàn)主機(jī)高級(jí)威脅檢測(cè)，也有基于新興的自適應(yīng)安全理念實(shí)現(xiàn)對(duì)主機(jī)的資產(chǎn)清點(diǎn)與發(fā)現(xiàn)等等，可謂八仙過海各顯神通。

“這些技術(shù)各有千秋”，姜向前在分析當(dāng)前主機(jī)安全防護(hù)技術(shù)時(shí)表示，“但安芯網(wǎng)盾不同之處在于深入底層硬件來做防護(hù)，以智能內(nèi)存保護(hù)技術(shù)為切入點(diǎn)來保護(hù)企業(yè)主機(jī)安全。”

以內(nèi)存保護(hù)為切入點(diǎn)，治標(biāo)也要治本

基于硬件虛擬化技術(shù)來對(duì)內(nèi)存進(jìn)行防護(hù)，聽起來令人眼前一亮，也有些讓人一知半解，似乎在業(yè)界并未聽說過這樣一種安全技術(shù)。的確，這項(xiàng)技術(shù)在國內(nèi)尚屬首創(chuàng)，甚至在國外也少有類似的技術(shù)與之對(duì)標(biāo)。

安芯網(wǎng)盾CTO姚紀(jì)衛(wèi)解釋說，目前大多主機(jī)安全防護(hù)還是圍繞應(yīng)用層或系統(tǒng)層，這可以防御多數(shù)常見的威脅，但近年來出現(xiàn)很多的高級(jí)攻擊深入硬件底層，諸如Spectre和Meltdown漏洞等。大部分安全工具在面對(duì)新型威脅和內(nèi)部威脅時(shí)缺點(diǎn)暴露無遺：由于惡意程序不再有心跳信息導(dǎo)致安全產(chǎn)品發(fā)現(xiàn)能力弱；有報(bào)警而無所作為……這些安全產(chǎn)品工作在應(yīng)用層或系統(tǒng)層而無法觸及到硬件層，是很難在第一時(shí)間發(fā)現(xiàn)并阻斷這些威脅，因此難以從根本上進(jìn)行防范。

而現(xiàn)在常見的反病毒技術(shù)無非是針對(duì)發(fā)現(xiàn)的病毒樣本建立病毒庫，一旦出現(xiàn)新病毒或變種就不斷加入到病毒庫中，但這種方式一來具有滯后性和被動(dòng)性，二來病毒庫將越來越龐大，難以維護(hù)，治標(biāo)不治本。

并且由于系統(tǒng)的某些限制，傳統(tǒng)工作在應(yīng)用層或系統(tǒng)層的安全技術(shù)無法全面監(jiān)控系統(tǒng)行為，很多安全功能在系統(tǒng)驅(qū)動(dòng)層是實(shí)現(xiàn)不了的，因此要想攔截此類威脅，就必須將安全機(jī)制下沉到硬件底層。

安芯網(wǎng)盾技術(shù)團(tuán)隊(duì)分析認(rèn)為，不論威脅代碼如何變化，計(jì)算機(jī)體系結(jié)構(gòu)決定了任何安全威脅都需要經(jīng)過CPU進(jìn)行運(yùn)算，其數(shù)據(jù)都需要經(jīng)過內(nèi)存進(jìn)行存儲(chǔ)，理論上基于CPU指令集這一層面實(shí)現(xiàn)的安全方案可以有效防御所有威脅，只要盯住內(nèi)存，就能發(fā)現(xiàn)威脅的一舉一動(dòng)。因此，安芯網(wǎng)盾以此為切入點(diǎn)，實(shí)現(xiàn)對(duì)內(nèi)存的監(jiān)控，這樣就可以了解到在其之上的系統(tǒng)層和應(yīng)用層都發(fā)生了什么，繼而各類威脅也將一覽無余。

安芯神甲內(nèi)存保護(hù)系統(tǒng)本質(zhì)上就是內(nèi)存防火墻，但國外的某些相關(guān)產(chǎn)品還是基于系統(tǒng)層或應(yīng)用層對(duì)進(jìn)程進(jìn)行分析，并非真正的基于硬件防護(hù)，而安芯網(wǎng)盾的內(nèi)存保護(hù)能夠真正下沉到CPU內(nèi)存，從而實(shí)現(xiàn)對(duì)主機(jī)中最核心部位的安全防護(hù)。

在姚紀(jì)衛(wèi)看來，以硬件層為切入點(diǎn)除了以上講的優(yōu)勢(shì)外，還有其他很多好處，由于基于應(yīng)用層的安全技術(shù)需要適配的東西很多，包括用戶的業(yè)務(wù)系統(tǒng)、操作系統(tǒng)、數(shù)據(jù)庫乃至各種硬件，在不同行業(yè)的解決方案中的各類代碼修改量要在30%以上，即便同行業(yè)不同客戶的方案代碼修改量也在15%以上，工作量巨大。但對(duì)于硬件虛擬化技術(shù)來說需要適配的就非常有限了，無非就是幾家廠商的CPU和十幾款主流的OS內(nèi)核等，相比而言以上兩項(xiàng)數(shù)據(jù)是非常低的。
為什么在市場(chǎng)上很少見到這種技術(shù)，也很少有安全廠商涉及？姜向前介紹，相比其他安全技術(shù)來說，從硬件層入手是非常難的。基于CPU的硬件層面安全防護(hù)技術(shù)也是在近年來隨著“安可工程”開始被客戶接受，加之安芯網(wǎng)盾團(tuán)隊(duì)成員擁有十多年反病毒技術(shù)的積累，經(jīng)過對(duì)海量惡意樣本的研究，對(duì)于數(shù)據(jù)在內(nèi)存執(zhí)行情況以及以此建立的內(nèi)存保護(hù)模型可以說是輕車熟路。

基于硬件虛擬化來等前沿技術(shù)做內(nèi)存保護(hù)需要兩個(gè)方面的技術(shù)積累，一是安全專家，二是系統(tǒng)專家，姚紀(jì)衛(wèi)就是這樣一位既懂安全又精通系統(tǒng)架構(gòu)的雙料專家。十幾年來他一直不曾中斷過對(duì)于未知病毒的啟發(fā)式檢測(cè)、病毒識(shí)別、虛擬機(jī)、內(nèi)存安全檢測(cè)與防護(hù)等技術(shù)的專研，他以網(wǎng)名Linxer發(fā)布了幾款國際知名的安全軟件，積攢了他在安全圈的名氣。

一流的團(tuán)隊(duì)打造一流的產(chǎn)品，在這樣的標(biāo)準(zhǔn)之下，安芯網(wǎng)盾在選拔技術(shù)人才方面的要求是非常嚴(yán)格的，只有擁有實(shí)打?qū)嵉募夹g(shù)的人才能接納進(jìn)團(tuán)隊(duì)，正如Linux的創(chuàng)始人Linus的名言——Talk is cheap, show me the code，公司CTO姚紀(jì)衛(wèi)在考察新人時(shí)極為嚴(yán)苛，在招聘環(huán)節(jié)就真槍實(shí)彈看其實(shí)際寫代碼的能力，只有技術(shù)能力過硬的人方能勝任。

經(jīng)得起實(shí)踐檢驗(yàn)，內(nèi)存防保護(hù)的落地應(yīng)用

目前安芯網(wǎng)盾基于硬件虛擬化等前沿技術(shù)已打造出三類安全產(chǎn)品和解決方案，包括安芯神甲智能內(nèi)存保護(hù)系統(tǒng)、系統(tǒng)信息檢測(cè)平臺(tái)和未知威脅文件檢測(cè)系統(tǒng)。其中安芯神甲基于實(shí)時(shí)的程序行為監(jiān)控、內(nèi)存操作監(jiān)控等技術(shù)實(shí)現(xiàn)了進(jìn)程級(jí)別的內(nèi)存保護(hù)，確保用戶核心業(yè)務(wù)應(yīng)用程序只按照預(yù)期的方式運(yùn)行，不會(huì)因病毒竊取、漏洞觸發(fā)而遭受攻擊。不同于常規(guī)安全產(chǎn)品只運(yùn)行在應(yīng)用層或者系統(tǒng)層，安芯神甲智能內(nèi)存保護(hù)系統(tǒng)能夠在應(yīng)用層、系統(tǒng)層、硬件層提供有機(jī)結(jié)合的立體防護(hù)。

圖：安芯神甲智能內(nèi)存保護(hù)系統(tǒng)
 

網(wǎng)絡(luò)安全技術(shù)層出不窮，新技術(shù)和新產(chǎn)品只有經(jīng)得起實(shí)踐的檢驗(yàn)才能真正贏得客戶和市場(chǎng)，但面對(duì)這些在市場(chǎng)剛剛嶄露頭角的創(chuàng)新安全技術(shù)，某些對(duì)業(yè)務(wù)系統(tǒng)穩(wěn)定性要求極高的行業(yè)例如金融等行業(yè)，是否愿意采用并承擔(dān)由此帶來的應(yīng)用風(fēng)險(xiǎn)呢？

這個(gè)問題如果放在幾年以前或許是個(gè)難題，但今時(shí)不同往日，隨著網(wǎng)絡(luò)安全越來越受到重視，企業(yè)管理者已將網(wǎng)絡(luò)安全上升到企業(yè)戰(zhàn)略高度，同時(shí)相應(yīng)的CSO或安全負(fù)責(zé)人也不再只是不懂網(wǎng)絡(luò)安全的管理者兼任，而是由專業(yè)安全人員專職，他們對(duì)網(wǎng)絡(luò)安全的理解和自身安全需求了如指掌，因此對(duì)安全新技術(shù)和新產(chǎn)品也往往保持開放心態(tài)，只要經(jīng)得起實(shí)踐檢驗(yàn)的新產(chǎn)品，他們?cè)敢庾龀鰢L試。

姜向前對(duì)此也頗有感觸，安芯網(wǎng)盾所接觸的企業(yè)客戶負(fù)責(zé)人大都精通安全技術(shù)，擁有很高的專業(yè)素養(yǎng)，在談到網(wǎng)絡(luò)安全創(chuàng)新技術(shù)時(shí)非常樂于嘗試，并按照自身的仿真環(huán)境來做測(cè)試和驗(yàn)證。目前安芯神甲產(chǎn)品已在某些應(yīng)用環(huán)境要求很高的客戶中得到了很好的應(yīng)用。

安芯網(wǎng)盾最為成熟的案例還是在Google公司身上并得到檢驗(yàn)，早在2009年姜向前和姚紀(jì)衛(wèi)曾一起創(chuàng)立了百銳安全實(shí)驗(yàn)室，研發(fā)的國內(nèi)第一款基于反病毒虛擬機(jī)技術(shù)的未知病毒檢測(cè)引擎就已為Google服務(wù)器中運(yùn)行，這款產(chǎn)品在VB100國際權(quán)威測(cè)評(píng)機(jī)構(gòu)獲得了國際領(lǐng)先的成績，到如今已剛好十年，其穩(wěn)定性和兼容性得到了很好的檢驗(yàn)。不止如此，除了將這種安全能力賦予行業(yè)客戶外，安芯網(wǎng)盾還將其輸出給安全廠商，幫助他們來增強(qiáng)相應(yīng)的安全產(chǎn)品功能。

隨著等保2.0的正式出臺(tái)，企業(yè)業(yè)務(wù)系統(tǒng)和IT系統(tǒng)將面對(duì)越來越大的合規(guī)壓力。對(duì)此，姜向前認(rèn)為，企業(yè)的CTO和CSO在建立IT系統(tǒng)和安全體系時(shí)，不能僅局限于合規(guī)，而應(yīng)當(dāng)從自身業(yè)務(wù)的角度出發(fā)，在符合等保要求的基礎(chǔ)上打造適合業(yè)務(wù)發(fā)展的安全體系，切實(shí)保障業(yè)務(wù)的連續(xù)穩(wěn)定運(yùn)行，確保核心數(shù)據(jù)資產(chǎn)的安全。

等保2.0一級(jí)至四級(jí)安全要求中規(guī)定了對(duì)惡意代碼的防范，其中第四級(jí)安全要求還規(guī)定“應(yīng)采用主動(dòng)免疫可信驗(yàn)證機(jī)制及時(shí)識(shí)別入侵和病毒行為，并將其有效阻斷”。安芯網(wǎng)盾的產(chǎn)品可對(duì)惡意代碼檢測(cè)防御提供四級(jí)安全防護(hù)，從內(nèi)存級(jí)別實(shí)現(xiàn)對(duì)惡意代碼的檢測(cè)和阻斷，為企業(yè)安全防護(hù)體系提供有效支撐。

如今在安全領(lǐng)域有很多初創(chuàng)企業(yè)，憑借某項(xiàng)獨(dú)有的創(chuàng)新技術(shù)在其細(xì)分安全領(lǐng)域里開創(chuàng)自己的一片天地。安芯網(wǎng)盾就是這樣一家技術(shù)驅(qū)動(dòng)型的安全創(chuàng)新企業(yè)。別看公司非常年輕，但其研發(fā)實(shí)力與技術(shù)積淀一點(diǎn)不比其他老牌安全公司弱。公司的聯(lián)合創(chuàng)始人CEO姜向前和CTO姚紀(jì)衛(wèi)都是在安全圈有著十多年經(jīng)驗(yàn)的老人，正是這種在安全領(lǐng)域的常年積累和打拼，在經(jīng)過無數(shù)次的頭腦風(fēng)暴和不斷的磨合，才造就了這種全新的基于硬件虛擬化等前沿技術(shù)的智能內(nèi)存保護(hù)技術(shù)。盡管公司才剛剛起步，但正如姜向前的期許，“安芯神甲智能內(nèi)存保護(hù)系統(tǒng)會(huì)安靜地防御各種攻擊，希望這種新技術(shù)能為網(wǎng)絡(luò)安全市場(chǎng)帶來新的活力，通過技術(shù)創(chuàng)新為社會(huì)創(chuàng)造價(jià)值。”

標(biāo)簽： 內(nèi)存保護(hù) 主機(jī)安全 

版權(quán)申明：本站文章部分自網(wǎng)絡(luò)，如有侵權(quán)，請(qǐng)聯(lián)系：west999com@outlook.com
特別注意：本站所有轉(zhuǎn)載文章言論不代表本站觀點(diǎn)！
本站所提供的圖片等素材，版權(quán)歸原作者所有，如需使用，請(qǐng)與原作者聯(lián)系。