0
| 本文作者: 余快 | 2021-07-05 14:03 |
網(wǎng)絡(luò)安全這個(gè)世界,不缺新故事,也不曾缺新朋友。
如今的安全圈,老牌企業(yè)制霸一方,各界巨頭跨界斗法,高手如云。
但寬廣又擁擠的賽道里,依然不乏新生力量,從細(xì)分領(lǐng)域里突出重圍,走到大眾眼前。
安芯網(wǎng)盾算一個(gè)。
這家企業(yè),從安全行業(yè)眾多細(xì)分領(lǐng)域中,選擇了“內(nèi)存安全”這一領(lǐng)域,以“國內(nèi)首家基于硬件虛擬化技術(shù)架構(gòu),建立縱深防御體系最后一道安全防線”為登場(chǎng)人設(shè),吸引了人們的目光。
為何選擇內(nèi)存安全?它能幫助客戶解決什么網(wǎng)絡(luò)安全問題?就以上問題,AI掘金志與安芯網(wǎng)盾的創(chuàng)始人兼CTO姚紀(jì)衛(wèi)進(jìn)行了一次談話。
“比如前幾天我們剛剛幫客戶攔截的Purple Fox木馬,就能夠隱藏惡意代碼去繞過大部分常規(guī)檢測(cè)防御產(chǎn)品,其攻擊行為都是在內(nèi)存中進(jìn)行,攻擊者會(huì)使用PowerShell腳本來實(shí)現(xiàn)無文件攻擊,并利用漏洞提權(quán)。”
在虛擬的世界里,對(duì)抗從未停止,道高一尺,魔高一丈的戲碼此起彼伏。
新的攻擊手段正在打破傳統(tǒng)安全邊界,這一點(diǎn)毋庸置疑。那么,攻擊者為什么青睞選用無文件等高級(jí)威脅手段進(jìn)行攻擊呢?
姚紀(jì)衛(wèi)指出,原因有四:
1、基于文件監(jiān)控、檢測(cè)技術(shù)的方法,無法識(shí)別基于內(nèi)存的攻擊。
2、基于日志或流量同樣無法檢測(cè)基于內(nèi)存的攻擊行為。
3、基于內(nèi)存的攻擊,有些惡意代碼不在磁盤上落地,更隱蔽。
4、現(xiàn)有安全防護(hù)體系缺乏強(qiáng)勁的運(yùn)行時(shí)保護(hù)能力。
從20世紀(jì)90年代至今,網(wǎng)絡(luò)安全經(jīng)歷過邊界防御、端點(diǎn)防御階段。眼下的形勢(shì),需要增強(qiáng)端點(diǎn)行為分析能力,提高“實(shí)時(shí)檢測(cè)和響應(yīng)”能力。
大部分安全產(chǎn)品會(huì)有各自的優(yōu)勢(shì),也不可避免有難以忽略的劣勢(shì),尤其在新型威脅面前。比如像EDR軟件,它會(huì)更注重?cái)?shù)據(jù)的采集,把采集到的數(shù)據(jù)放入Server端,在Server端做大數(shù)據(jù)分析,分析識(shí)別威脅。
這些傳統(tǒng)的安全產(chǎn)品肯定也能解決一些安全問題,但是它存在兩個(gè)弊端,一是現(xiàn)在操作系統(tǒng)越來越封閉(如:Windows 64位系統(tǒng)已經(jīng)不允許掛鉤子了),這會(huì)導(dǎo)致這些軟件的采集數(shù)據(jù)的能力越來越弱,二是有些軟件把數(shù)據(jù)上報(bào)到Server端分析,等Server端分析出來威脅,Agent端已經(jīng)無法阻斷響應(yīng)了,威脅已經(jīng)運(yùn)行完畢,正因這有延時(shí),無法實(shí)時(shí)響應(yīng)。因此它們無法提供強(qiáng)勁的運(yùn)行時(shí)保護(hù)能力。
而內(nèi)存保護(hù)產(chǎn)品雖然也是在本地采集數(shù)據(jù)做分析,但為了采集更多的數(shù)據(jù),它需突破系統(tǒng)的一些限制,它會(huì)采用硬件虛擬化等前沿技術(shù)做指令集監(jiān)控分析收集數(shù)據(jù);它更注重本地單機(jī)的分析能力,對(duì)采集到的數(shù)據(jù)盡量在本地形成分析能力,不會(huì)過度依賴Server端,本地的分析能力發(fā)現(xiàn)威脅后能立馬實(shí)時(shí)響應(yīng),因此它具有強(qiáng)勁的運(yùn)行時(shí)保護(hù)能力。
正因如此,”當(dāng)前的主機(jī)安全解決方案應(yīng)該使用更底層技術(shù)去實(shí)現(xiàn)防護(hù)”,姚紀(jì)衛(wèi)說道。
由于企業(yè)的核心數(shù)據(jù)資產(chǎn)在服務(wù)器上,這也正是0day、無文件攻擊等高級(jí)威脅將主機(jī)作為主要攻擊目標(biāo)的原因。
如何保障主機(jī)安全?安芯網(wǎng)盾找到了內(nèi)存安全這一突破口。
從內(nèi)存安全角度出發(fā),姚紀(jì)衛(wèi)表示在企業(yè)網(wǎng)絡(luò)和業(yè)務(wù)內(nèi)外部環(huán)境越來越復(fù)雜的背景下,要主動(dòng)、全面地獲取各類主機(jī)信息,分析具體風(fēng)險(xiǎn)源,需要采取更底層的信息采集方式。
馮·諾依曼計(jì)算機(jī)體系結(jié)構(gòu)決定了任何數(shù)據(jù)都需要經(jīng)過CPU進(jìn)行運(yùn)算,其數(shù)據(jù)都需要經(jīng)過內(nèi)存進(jìn)行存儲(chǔ)。
從2006年開始,姚紀(jì)衛(wèi)就開始做高級(jí)威脅防護(hù)研究,他發(fā)現(xiàn)無論威脅、攻擊如何變換,惡意代碼始終存在于內(nèi)存,也終將依賴CPU執(zhí)行。
某種程度上,通過監(jiān)控CPU指令并結(jié)合上下文分析可以監(jiān)控系統(tǒng)、程序的各種行為動(dòng)作,另外通過內(nèi)存虛擬化等技術(shù)可以監(jiān)控內(nèi)存的讀、寫、執(zhí)行行為,然后結(jié)合關(guān)聯(lián)行為分析模塊,可以有效防御各種威脅。
“把安全產(chǎn)品的防護(hù)能力從應(yīng)用層、系統(tǒng)層下沉到硬件虛擬化層,從內(nèi)存方面著手進(jìn)行威脅的檢測(cè)和防護(hù),也就是“內(nèi)存安全”,我們希望借此解決最令行業(yè)頭疼的威脅。”
正如前文所述,基于內(nèi)存安全的產(chǎn)品確有諸多獨(dú)特優(yōu)勢(shì)。
1、更底層的監(jiān)控。
大趨勢(shì)下,為了提高自身安全性,操作系統(tǒng)趨向收縮第三方軟件的權(quán)限,封閉性逐漸增強(qiáng)。這意味著,通過傳統(tǒng)API Hook的監(jiān)控方式能力越來越受限,傳統(tǒng)防護(hù)手段效果變?nèi)酰辉趹?yīng)用層或系統(tǒng)層進(jìn)行防護(hù)的產(chǎn)品很難第一時(shí)間發(fā)現(xiàn)并阻斷威脅,最終導(dǎo)致數(shù)據(jù)量減少、檢測(cè)率低、誤報(bào)率高。
內(nèi)存保護(hù)技術(shù)能有效繞開當(dāng)前操作系統(tǒng)的一些限制(比如PatchGuard等),實(shí)現(xiàn)對(duì)系統(tǒng)中各類行為的有效監(jiān)控。
2、0延時(shí)、實(shí)時(shí)響應(yīng)。
云端分析的過程,是將所有數(shù)據(jù)上傳到服務(wù)器,分析完后將結(jié)果反饋給客戶端,客戶端再進(jìn)行處理。云端分析的效果得到保證,但中間存在延時(shí)。不少方案正是通過在云端進(jìn)行數(shù)據(jù)分析的方式發(fā)現(xiàn)攻擊,再給報(bào)警并響應(yīng)。
“可能分析結(jié)果還未傳達(dá)到客戶端,病毒破壞完已經(jīng)走了。”
使用內(nèi)存保護(hù)技術(shù),基于CPU指令集的監(jiān)控,進(jìn)行細(xì)粒度跟蹤、監(jiān)控系統(tǒng)的各類行為動(dòng)作,這有利于在保證低誤報(bào)率的情況下,實(shí)時(shí)地在本地分析識(shí)別更多的威脅,這可以做到0延時(shí)、實(shí)時(shí)響應(yīng),當(dāng)威脅出現(xiàn)時(shí)能第一時(shí)間告警響應(yīng)。
3、易于部署、穩(wěn)定性和兼容性強(qiáng)。
內(nèi)存保護(hù)系統(tǒng)支持一鍵部署,10分鐘可完成部署。目前已經(jīng)在客戶的超過10萬臺(tái)服務(wù)器上穩(wěn)定運(yùn)行,兼容性、穩(wěn)定性得到充分驗(yàn)證。
其實(shí),從內(nèi)存角度保護(hù)主機(jī)安全的思路并不復(fù)雜,但為什么此前少有企業(yè)專耕于此?
姚紀(jì)衛(wèi)告訴AI掘金志,總的來說,相比其他安全產(chǎn)品,內(nèi)存保護(hù)技術(shù)的應(yīng)用,對(duì)技術(shù)者要求高,開發(fā)難度更大。
既要懂安全,又要懂操作系統(tǒng),需要熟悉操作體系結(jié)構(gòu)和系統(tǒng)原理,還需要熟悉各類攻擊方式。這方面的雙料人才比較少。也正因如此,此領(lǐng)域有大公司跟進(jìn),但小公司跟進(jìn)的較少。
2005年,X86 CPU開始引入硬件虛擬化技術(shù),此后CPU也經(jīng)過多次迭代,硬件虛擬化技術(shù)也不斷完善,這為這項(xiàng)技術(shù)應(yīng)用于安全方向提供了良好的硬件基礎(chǔ),大概在2010年開始有人嘗試把這項(xiàng)技術(shù)應(yīng)用到安全上。
“安芯網(wǎng)盾是最早將內(nèi)存安全產(chǎn)品化的企業(yè)。”姚紀(jì)衛(wèi)說道。
安芯網(wǎng)盾的人才積累、技術(shù)積累或許是原因之一。
安芯網(wǎng)盾創(chuàng)始團(tuán)隊(duì)在未知威脅防護(hù)的產(chǎn)品研發(fā)方面有十余年的技術(shù)積累。比如姚紀(jì)衛(wèi)自身也屬于既懂安全又精通系統(tǒng)架構(gòu)的雙料專家,他是國內(nèi)反病毒虛擬機(jī)技術(shù)開拓者。
他是幾款著名的安全軟件如PCHunter、LinxerUnpacker的作者,前款被國際權(quán)威機(jī)構(gòu)評(píng)為全球最優(yōu)秀的AntiRootkit安全軟件,后款被評(píng)為當(dāng)時(shí)最強(qiáng)的基于反病毒虛擬機(jī)技術(shù)的通用脫殼機(jī)。
內(nèi)存保護(hù)系統(tǒng)的獨(dú)特之處
安芯網(wǎng)盾的安芯神甲智能內(nèi)存保護(hù)系統(tǒng),采用硬件虛擬化技術(shù)、內(nèi)存行為分析技術(shù)、關(guān)聯(lián)分析技術(shù),將產(chǎn)品的安全能力從應(yīng)用層、系統(tǒng)層下沉到硬件虛擬化層。
內(nèi)存保護(hù)系統(tǒng)并未采用通用的特征碼匹配檢測(cè),而是檢測(cè)系統(tǒng)、程序內(nèi)部是否存在敏感行為、異常行為來確認(rèn)識(shí)別惡意程序。這一技術(shù),可以靈敏的感知未知威脅,防御并終止無文件攻擊、0day攻擊等高級(jí)威脅。
“因?yàn)楣魳颖究梢杂星f甚至百億條,但不管樣本如何變換,樣本攻擊方式、主要?jiǎng)幼髌鋵?shí)變動(dòng)不大。”
姚紀(jì)衛(wèi)指出,基于行為分析的檢測(cè)方案是目前整個(gè)安全行業(yè)在主機(jī)層面針對(duì)高級(jí)威脅檢測(cè)的共識(shí),而基于行為分析的產(chǎn)品也將是未來的主流趨勢(shì)。不同的是,每家企業(yè)都有自己獨(dú)特的行為抓取方式,或通過應(yīng)用層、或通過驅(qū)動(dòng)層,但大多依然依附于操作系統(tǒng)之上。
為了抓取足夠全、足夠細(xì)的數(shù)據(jù),安芯網(wǎng)盾通過硬件虛擬化技術(shù),可以檢測(cè)0day攻擊、無文件攻擊等傳統(tǒng)安全軟件檢測(cè)能力薄弱的高級(jí)威脅。顯著提高減速率,據(jù)悉檢測(cè)率達(dá)90%以上。
此外,這一產(chǎn)品基于Agent架構(gòu),啟動(dòng)相關(guān)服務(wù)和腳本即可運(yùn)行,而且在運(yùn)行時(shí)CPU占用率不超過5%,內(nèi)存占用率不超過100M。
在效果上可幫助客戶實(shí)現(xiàn)實(shí)時(shí)檢測(cè)攻擊,保護(hù)核心業(yè)務(wù)不被阻斷,核心數(shù)據(jù)資產(chǎn)不被竊取。安芯神甲可以有效檢測(cè)系統(tǒng)漏洞被利用過程,從而解決0day漏洞攻擊問題。
企業(yè)的核心數(shù)據(jù)資產(chǎn)在服務(wù)器上,只有做好主機(jī)層的安全防御,才能確保企業(yè)核心資產(chǎn)安全,保障業(yè)務(wù)的正常運(yùn)行。
經(jīng)過近2年的潛心研究與實(shí)踐,安芯網(wǎng)盾的內(nèi)存保護(hù)系統(tǒng)經(jīng)歷了前后多次的更新迭代,已經(jīng)服務(wù)了如海關(guān)、百度、金山、Google、G42等大型企事業(yè)客戶。
從功能來講,可以更好的幫助用戶進(jìn)行資產(chǎn)管理、日志管理、風(fēng)險(xiǎn)發(fā)現(xiàn)等功能場(chǎng)景需求,更細(xì)粒度的監(jiān)測(cè)服務(wù)器,確保主機(jī)資產(chǎn)的安全。
從應(yīng)用場(chǎng)景講,基于硬件虛擬化、內(nèi)存保護(hù)技術(shù)研發(fā)的智能內(nèi)存保護(hù)系統(tǒng),可以更好的解決無文件攻擊、內(nèi)存馬攻擊、0day漏洞等高級(jí)威脅,彌補(bǔ)傳統(tǒng)防護(hù)工具的缺失,做好主機(jī)安全防護(hù)。
眼下,安芯網(wǎng)盾企業(yè)規(guī)模也呈倍增式增長(zhǎng),成為主機(jī)安全市場(chǎng)的有力力量。
“當(dāng)然,我們并不是要替代傳統(tǒng)安全方案,而是作為補(bǔ)充,去幫助客戶解決令他們頭疼的高級(jí)威脅。”
網(wǎng)絡(luò)安全江湖波譎云詭,黑白之間的攻守較量從未停歇,外御強(qiáng)敵唯有苦練內(nèi)功,寶劍出鞘時(shí)方能守護(hù)一方平安。
內(nèi)存保護(hù)系統(tǒng)可以說是主動(dòng)防御體系強(qiáng)有力的補(bǔ)充,建立了縱深防御體系的最后一道防線,安芯網(wǎng)盾給市場(chǎng)帶來更多的可能。雷鋒網(wǎng)雷鋒網(wǎng)雷鋒網(wǎng)
雷峰網(wǎng)原創(chuàng)文章,未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。
