原标题:抵御高级威胁,安芯网盾的内存安全「突围战」
网络安全这个世界,不缺新故事,也不曾缺新朋友。
如今的安全圈,老牌企业制霸一方,各界巨头跨界斗法,高手如云。
但宽广又拥挤的赛道里,依然不乏新生力量,从细分领域里突出重围,走到大众眼前。
安芯网盾算一个。
这家企业,从安全行业众多细分领域中,选择了“内存安全”这一领域,以“国内首家基于硬件虚拟化技术架构,建立纵深防御体系最后一道安全防线”为登场人设,吸引了人们的目光。
为何选择内存安全?它能帮助客户解决什么网络安全问题?就以上问题,AI掘金志与安芯网盾的创始人兼CTO姚纪卫进行了一次谈话。
传统安全边界的裂缝
“比如前几天我们刚刚帮客户拦截的Purple Fox木马,就能够隐藏恶意代码去绕过大部分常规检测防御产品,其攻击行为都是在内存中进行,攻击者会使用PowerShell脚本来实现无文件攻击,并利用漏洞提权。”
在虚拟的世界里,对抗从未停止,道高一尺,魔高一丈的戏码此起彼伏。
新的攻击手段正在打破传统安全边界,这一点毋庸置疑。那么,攻击者为什么青睐选用无文件等高级威胁手段进行攻击呢?
姚纪卫指出,原因有四:
1、基于文件监控、检测技术的方法,无法识别基于内存的攻击。
2、基于日志或流量同样无法检测基于内存的攻击行为。
3、基于内存的攻击,有些恶意代码不在磁盘上落地,更隐蔽。
4、现有安全防护体系缺乏强劲的运行时保护能力。
从20世纪90年代至今,网络安全经历过边界防御、端点防御阶段。眼下的形势,需要增强端点行为分析能力,提高“实时检测和响应”能力。
大部分安全产品会有各自的优势,也不可避免有难以忽略的劣势,尤其在新型威胁面前。比如像EDR软件,它会更注重数据的采集,把采集到的数据放入Server端,在Server端做大数据分析,分析识别威胁。这些传统的安全产品肯定也能解决一些安全问题,但是它存在两个弊端,一是现在操作系统越来越封闭(如:Windows64位系统已经不允许挂钩子了),这会导致这些软件的采集数据的能力越来越弱,二是有些软件把数据上报到Server端分析,等Server端分析出来威胁,Agent端已经无法阻断响应了,威胁已经运行完毕,正因这有延时,无法实时响应。因此它们无法提供强劲的运行时保护能力。
而内存保护产品虽然也是在本地采集数据做分析,但为了采集更多的数据,它需突破系统的一些限制,它会采用硬件虚拟化等前沿技术做指令集监控分析收集数据;它更注重本地单机的分析能力,对采集到的数据尽量在本地形成分析能力,不会过度依赖Server端,本地的分析能力发现威胁后能立马实时响应,因此它具有强劲的运行时保护能力。
正因如此,”当前的主机安全解决方案应该使用更底层技术去实现防护”,姚纪卫说道。
最后一道防线
由于企业的核心数据资产在服务器上,这也正是0day、无文件攻击等高级威胁将主机作为主要攻击目标的原因。
如何保障主机安全?安芯网盾找到了内存安全这一突破口。
从内存安全角度出发,姚纪卫表示在企业网络和业务内外部环境越来越复杂的背景下,要主动、全面地获取各类主机信息,分析具体风险源,需要采取更底层的信息采集方式。
冯·诺依曼计算机体系结构决定了任何数据都需要经过CPU进行运算,其数据都需要经过内存进行存储。
从2006年开始,姚纪卫就开始做高级威胁防护研究,他发现无论威胁、攻击如何变换,恶意代码始终存在于内存,也终将依赖CPU执行。
某种程度上,通过监控CPU指令并结合上下文分析可以监控系统、程序的各种行为动作,另外通过内存虚拟化等技术可以监控内存的读、写、执行行为,然后结合关联行为分析模块,可以有效防御各种威胁。
“把安全产品的防护能力从应用层、系统层下沉到硬件虚拟化层,从内存方面着手进行威胁的检测和防护,也就是“内存安全”,我们希望借此解决最令行业头疼的威胁。”
正如前文所述,基于内存安全的产品确有诸多独特优势。
1、更底层的监控。
大趋势下,为了提高自身安全性,操作系统趋向收缩第三方软件的权限,封闭性逐渐增强。这意味着,通过传统APIHook的监控方式能力越来越受限,传统防护手段效果变弱,只在应用层或系统层进行防护的产品很难第一时间发现并阻断威胁,最终导致数据量减少、检测率低、误报率高。
内存保护技术能有效绕开当前操作系统的一些限制(比如PatchGuard等),实现对系统中各类行为的有效监控。
2、0延时、实时响应。
云端分析的过程,是将所有数据上传到服务器,分析完后将结果反馈给客户端,客户端再进行处理。云端分析的效果得到保证,但中间存在延时。不少方案正是通过在云端进行数据分析的方式发现攻击,再给报警并响应。
“可能分析结果还未传达到客户端,病毒破坏完已经走了。”
使用内存保护技术,基于CPU指令集的监控,进行细粒度跟踪、监控系统的各类行为动作,这有利于在保证低误报率的情况下,实时地在本地分析识别更多的威胁,这可以做到0延时、实时响应,当威胁出现时能第一时间告警响应。
3、易于部署、稳定性和兼容性强。
内存保护系统支持一键部署,10分钟可完成部署。目前已经在客户的超过10万台服务器上稳定运行,兼容性、稳定性得到充分验证。
精耕之路
其实,从内存角度保护主机安全的思路并不复杂,但为什么此前少有企业专耕于此?
姚纪卫告诉AI掘金志,总的来说,相比其他安全产品,内存保护技术的应用,对技术者要求高,开发难度更大。
既要懂安全,又要懂操作系统,需要熟悉操作体系结构和系统原理,还需要熟悉各类攻击方式。这方面的双料人才比较少。也正因如此,此领域有大公司跟进,但小公司跟进的较少。
2005年,X86 CPU开始引入硬件虚拟化技术,此后CPU也经过多次迭代,硬件虚拟化技术也不断完善,这为这项技术应用于安全方向提供了良好的硬件基础,大概在2010年开始有人尝试把这项技术应用到安全上。
“安芯网盾是最早将内存安全产品化的企业。”姚纪卫说道。
安芯网盾的人才积累、技术积累或许是原因之一。
安芯网盾创始团队在未知威胁防护的产品研发方面有十余年的技术积累。比如姚纪卫自身也属于既懂安全又精通系统架构的双料专家,他是国内反病毒虚拟机技术开拓者。
他是几款著名的安全软件如PCHunter、LinxerUnpacker的作者,前款被国际权威机构评为全球最优秀的AntiRootkit安全软件,后款被评为当时最强的基于反病毒虚拟机技术的通用脱壳机。
内存保护系统的独特之处
安芯网盾的安芯神甲智能内存保护系统,采用硬件虚拟化技术、内存行为分析技术、关联分析技术,将产品的安全能力从应用层、系统层下沉到硬件虚拟化层。
内存保护系统并未采用通用的特征码匹配检测,而是检测系统、程序内部是否存在敏感行为、异常行为来确认识别恶意程序。这一技术,可以灵敏的感知未知威胁,防御并终止无文件攻击、0day攻击等高级威胁。
“因为攻击样本可以有千万甚至百亿条,但不管样本如何变换,样本攻击方式、主要动作其实变动不大。”
姚纪卫指出,基于行为分析的检测方案是目前整个安全行业在主机层面针对高级威胁检测的共识,而基于行为分析的产品也将是未来的主流趋势。不同的是,每家企业都有自己独特的行为抓取方式,或通过应用层、或通过驱动层,但大多依然依附于操作系统之上。
为了抓取足够全、足够细的数据,安芯网盾通过硬件虚拟化技术,可以检测0day攻击、无文件攻击等传统安全软件检测能力薄弱的高级威胁。显著提高减速率,据悉检测率达90%以上。
此外,这一产品基于Agent架构,启动相关服务和脚本即可运行,而且在运行时CPU占用率不超过5%,内存占用率不超过100M。
在效果上可帮助客户实现实时检测攻击,保护核心业务不被阻断,核心数据资产不被窃取。安芯神甲可以有效检测系统漏洞被利用过程,从而解决0day漏洞攻击问题。
主机安全的新力量
企业的核心数据资产在服务器上,只有做好主机层的安全防御,才能确保企业核心资产安全,保障业务的正常运行。
经过近2年的潜心研究与实践,安芯网盾的内存保护系统经历了前后多次的更新迭代,已经服务了如海关、百度、金山、Google、G42等大型企事业客户。
从功能来讲,可以更好的帮助用户进行资产管理、日志管理、风险发现等功能场景需求,更细粒度的监测服务器,确保主机资产的安全。
从应用场景讲,基于硬件虚拟化、内存保护技术研发的智能内存保护系统,可以更好的解决无文件攻击、内存马攻击、0day漏洞等高级威胁,弥补传统防护工具的缺失,做好主机安全防护。
眼下,安芯网盾企业规模也呈倍增式增长,成为主机安全市场的有力力量。
“当然,我们并不是要替代传统安全方案,而是作为补充,去帮助客户解决令他们头疼的高级威胁。”
网络安全江湖波谲云诡,黑白之间的攻守较量从未停歇,外御强敌唯有苦练内功,宝剑出鞘时方能守护一方平安。