《電子技術(shù)應(yīng)用》
您所在的位置:首頁 > 通信與網(wǎng)絡(luò) > 業(yè)界動態(tài) > 爭奪網(wǎng)絡(luò)安全的“制空權(quán)”:內(nèi)存安全

爭奪網(wǎng)絡(luò)安全的“制空權(quán)”:內(nèi)存安全

2021-02-08
來源:安全牛

  畢業(yè)于哈爾濱工程大學(xué),,Windows頂級內(nèi)核專家,國內(nèi)反病毒虛擬機技術(shù)的開拓者,,主導(dǎo)安芯網(wǎng)盾內(nèi)存保護系統(tǒng)的開發(fā)與管理,。多款知名軟件作者:PChunter作者,PChunter被國際權(quán)威機構(gòu)評為全球最優(yōu)秀的AntiRootkit安全軟件,。LinxerUnpacker軟件作者,,該軟件被評為當(dāng)時最強的基于反病毒虛擬機技術(shù)的通用脫殼機。

  安全牛:您從2009年開始,,一直致力于未知威脅檢測引擎的開發(fā)和研究,,是什么樣的機緣讓您在2019年選擇以內(nèi)存保護為創(chuàng)業(yè)方向?

  姚紀(jì)衛(wèi):2019年的某個下午,,我和合伙人聊起近幾年國內(nèi)的網(wǎng)絡(luò)安全市場,,發(fā)現(xiàn)盡管系統(tǒng)、應(yīng)用層面的防護手段越來越多元,,安全產(chǎn)品與防護功能趨于完善,,但是類似使用永恒之藍(lán)漏洞這種大規(guī)模、高傷亡的網(wǎng)絡(luò)攻擊事件還是偶有發(fā)生,,甚至有逐漸增多的跡象,,究其原因,在于傳統(tǒng)的安全軟件是通過傳統(tǒng)的檢測方式對系統(tǒng)做檢測分析,,對當(dāng)前流行的0day攻擊,、無文件攻擊缺乏有效防御手段,這就像用上個世紀(jì)的雷達(dá)去檢測最新一代的隱形戰(zhàn)斗機一樣沒有效果,。我們那次聊了很久,,最后一拍即合開啟我們的第二次創(chuàng)業(yè),并選擇了內(nèi)存保護這條路,。

  2.png

  我們從2006年就一直在做高級威脅防護的研究,,發(fā)現(xiàn)無論威脅、攻擊怎么變換,,惡意代碼最終都將出現(xiàn)在內(nèi)存上,,也終將需要依賴CPU去執(zhí)行。因而理論上我們守護住內(nèi)存和CPU就能防御所有的威脅,,這也是我們做內(nèi)存保護的理論基礎(chǔ),,把安全產(chǎn)品的防護能力從應(yīng)用層、系統(tǒng)層下沉到硬件虛擬化層,,從內(nèi)存方面著手進行應(yīng)對系統(tǒng)設(shè)計缺陷,、外部入侵等威脅的檢測和防護,,也就是“內(nèi)存安全”,我們希望借此解決最令行業(yè)頭疼的威脅,。

  傳統(tǒng)方法依賴特征,、規(guī)則匹配檢測無法滿足內(nèi)存安全類產(chǎn)品的要求,但是通過內(nèi)存虛擬化等技術(shù)手段,,可以有效監(jiān)控內(nèi)存讀,、寫、執(zhí)行行為,,解決了內(nèi)存訪問行為不可見問題,,內(nèi)存訪問行為不再是一個黑盒。

  此外,,傳統(tǒng)方法也無法實現(xiàn)指令集監(jiān)控,。而我們的內(nèi)存保護系統(tǒng)是基于硬件虛擬化技術(shù)架構(gòu)設(shè)計,在特定的CPU指令執(zhí)行時結(jié)合其執(zhí)行的上下文能分析出程序發(fā)生了什么行為,,同時基于硬件虛擬化技術(shù)其充分利用CPU層本身的隔離機制,,不容易被反檢測機制發(fā)現(xiàn),從而保障自身核心模塊的安全能力,。

  3.png

  相比其他安全產(chǎn)品來說,,內(nèi)存保護技術(shù)的應(yīng)用需要團隊擁有對操作系統(tǒng)、CPU體系結(jié)構(gòu),、病毒攻擊以及虛擬化技術(shù)都十分了解的復(fù)合型技術(shù)人才,。所以我們目前遇到的最大困難就是招聘,我們渴望找到比我們更優(yōu)秀的伙伴,,我們考驗的關(guān)鍵點不是是否有漂亮的履歷,,手握實力的人才才是我們需要的,。

  安全牛:在您看來,,內(nèi)存安全與傳統(tǒng)端點安全最大的的區(qū)別在哪里?

  姚紀(jì)衛(wèi):傳統(tǒng)端點安全一般指殺毒軟件,、EDR,、HIPS等軟件,這些軟件一般由病毒查殺,、信息采集分析,、管控、監(jiān)控等功能組成,,它們采用的技術(shù)方法也較為傳統(tǒng),,對威脅的檢測要么通過特征碼檢測,要么通過Hook監(jiān)控分析識別等技術(shù),。傳統(tǒng)的端點安全軟件也許運行在應(yīng)用層,,也許運行在系統(tǒng)層,,但內(nèi)存保護是運行在系統(tǒng)層、應(yīng)用層和硬件虛擬化層,,超過70%的高級攻擊都是跟內(nèi)存安全相關(guān)的,,比如內(nèi)存破壞型漏洞,對這些攻擊僅僅在應(yīng)用層,、系統(tǒng)層設(shè)防是力不從心的,。

  當(dāng)前很多威脅開發(fā)者已經(jīng)熟知這些檢測手段并能繞過這些檢測機制。內(nèi)存保護系統(tǒng)除了會采用一些傳統(tǒng)的技術(shù)手段外,,還有一些獨特的技術(shù)手段,,比如內(nèi)存虛擬化技術(shù),它可以解決內(nèi)存訪問動作不可見問題,,對一些內(nèi)存破壞型漏洞攻擊有很好的效果,;腳本解析引擎掛鉤分析技術(shù),它可以很好的識別一些腳本類型的無文件攻擊,;基于硬件虛擬化的行為監(jiān)控,,可以很好的解決由系統(tǒng)PatchGuard等導(dǎo)致的無法有效監(jiān)控、攔截一些系統(tǒng)行為的問題,。內(nèi)存保護系統(tǒng)能有效監(jiān)控內(nèi)存訪問行為和識別更多的程序行為動作,,這樣對威脅的檢出率會更高,誤報率會更低,。

  大家開始關(guān)注到內(nèi)存安全,,因為內(nèi)存安全問題也是Android、Java,、Windows 10和Chrome等各類平臺的頭號安全問題,。比如近幾年的攻防演練中備受關(guān)注的內(nèi)存馬攻擊,也是一種典型的無文件攻擊手段,,它可以有效地躲避傳統(tǒng)安全軟件的檢測,,在系統(tǒng)的內(nèi)存中遠(yuǎn)程加載執(zhí)行、駐留在注冊表中或濫用常用的白名單工具,,例如PowerShell,、Windows Management Instrumentation(WMI)和PsExec等。傳統(tǒng)的端點安全軟件就很難去檢測到它,,更別提實時防御了,。而通過對內(nèi)存數(shù)據(jù)訪問行為細(xì)粒度的檢測以及對數(shù)據(jù)狀態(tài)、數(shù)據(jù)流動狀態(tài)與內(nèi)存中行為動作的觀察,,內(nèi)存馬就會在內(nèi)存保護系統(tǒng)的檢測下暴露無遺,。

4.png

  安全牛:因為內(nèi)存安全防護技術(shù)直接監(jiān)控一些內(nèi)存訪問狀態(tài),那么產(chǎn)品對系統(tǒng)的穩(wěn)定性會不會產(chǎn)生嚴(yán)重的影響,?在威脅的檢測技術(shù)上,,跟傳統(tǒng)的防護產(chǎn)品相比,,有什么先進性。

  姚紀(jì)衛(wèi):對系統(tǒng)穩(wěn)定性不會有特別的影響,。傳統(tǒng)的端點安全軟件也會有驅(qū)動程序,,內(nèi)存保護也會有驅(qū)動程序,它們的作用都是差不多的,。區(qū)別之處在于,,內(nèi)存保護系統(tǒng)是基于硬件虛擬化技術(shù)架構(gòu)設(shè)計的,現(xiàn)在的硬件虛擬化技術(shù)已經(jīng)很成熟了,,CPU硬件也提供了比較好的支持,,只要考慮周全不會對系統(tǒng)穩(wěn)定性有特殊的影響。

  利用硬件虛擬化技術(shù)后,,可以監(jiān)控更多的內(nèi)存行為和程序行為,,這樣對威脅的檢出率會更高,誤報率會更低,。另外,,也能解決一些傳統(tǒng)防護手段無法解決的問題,比如能跟蹤內(nèi)存的訪問狀態(tài),,通過這些訪問跟蹤能識別發(fā)現(xiàn)無文件攻擊,、0day攻擊、內(nèi)存代碼片段攻擊,。

  安全牛:請您談?wù)剝?nèi)存安全技術(shù)的發(fā)展趨勢,。

  姚紀(jì)衛(wèi):使用內(nèi)存保護技術(shù)能細(xì)粒度跟蹤、監(jiān)控系統(tǒng)的各類行為動作,,這有利于在低誤報率的情況下,,發(fā)現(xiàn)更多的威脅;內(nèi)存保護技術(shù)還能有效繞開當(dāng)前操作系統(tǒng)的一些限制(比如PatchGuard等),,實現(xiàn)對系統(tǒng)中各類行為的有效監(jiān)控,,正是因為這些優(yōu)點,相較于傳統(tǒng)端點防護技術(shù),,內(nèi)存保護技術(shù)會有更廣闊的應(yīng)用場景,。

  當(dāng)然內(nèi)存保護技術(shù)也有局限性,,就是對開發(fā)者的要求會比較高,,既要懂安全,又要懂操作系統(tǒng),,還需要對CPU硬件特性特別了解,,本身這一塊的技術(shù)人員就很少,所以開發(fā)難度會更大些,。

  內(nèi)存保護如果與其他技術(shù)結(jié)合會有很多場景,,比如當(dāng)前內(nèi)存保護可以檢測內(nèi)存的一些訪問狀態(tài),,因此除了可以檢測0day攻擊外,也可用于漏洞挖掘,,可以結(jié)合測試技術(shù)來檢測軟件內(nèi)存使用方面的bug,,提高軟件健壯性。

  過去的一年,,我們服務(wù)了很多大型客戶,。舉個例子,國內(nèi)某頭部電商平臺,,它有200多條產(chǎn)品線,,開放的API有數(shù)百個,這種業(yè)務(wù)復(fù)雜度高的客戶面臨的問題是操作系統(tǒng)和業(yè)務(wù)系統(tǒng)很難進行打補丁升級,,并且也無法去確定它的每一條業(yè)務(wù)線是否完成了升級,,這個時候內(nèi)存保護就可以幫助客戶解決這個問題,使用內(nèi)存保護雖然無法阻止漏洞的產(chǎn)生,,但是可以讓漏洞無法被利用,,可以讓客戶帶傷上陣,保障業(yè)務(wù)和數(shù)據(jù),,這個需求場景也是很多其他客戶的痛點,。另外內(nèi)存保護可以幫助解決了域控場景的防護,企業(yè)AD域服務(wù)器的攻擊事件層出不窮,,一旦擁有域控管理權(quán)限的域控服務(wù)器被攻破,,所有加入域的終端和服務(wù)器都將被控制,存在全網(wǎng)淪陷的可能,,而客戶的數(shù)據(jù)又與我們很多人的生活息息相關(guān)的,,而內(nèi)存保護給客戶提供的漏洞防御、內(nèi)存數(shù)據(jù)保護及未知威脅防御等能力,,幫助客戶對抗PTH攻擊,、黃金票據(jù)攻擊、白銀票據(jù)攻擊,、lsass進程讀取明文密碼,,以及最新的NetLogon特權(quán)提升漏洞攻擊等攻擊,保護他們的高價值數(shù)據(jù)不被竊取,,核心業(yè)務(wù)不被阻斷,。

 

本站內(nèi)容除特別聲明的原創(chuàng)文章之外,轉(zhuǎn)載內(nèi)容只為傳遞更多信息,,并不代表本網(wǎng)站贊同其觀點,。轉(zhuǎn)載的所有的文章、圖片,、音/視頻文件等資料的版權(quán)歸版權(quán)所有權(quán)人所有,。本站采用的非本站原創(chuàng)文章及圖片等內(nèi)容無法一一聯(lián)系確認(rèn)版權(quán)者,。如涉及作品內(nèi)容、版權(quán)和其它問題,,請及時通過電子郵件或電話通知我們,,以便迅速采取適當(dāng)措施,避免給雙方造成不必要的經(jīng)濟損失,。聯(lián)系電話:010-82306118,;郵箱:[email protected]