在8月举办的“内存安全技术研讨会”上,安芯网盾CEO姜向前发表主题演讲《基于内存安全创造非对称优势,掌握攻防主动权》。
一、多种攻击手段绕过边界,主机安全面临新挑战
企业主营业务和核心数据都依靠主机进行处理,因此各企业、单位均采用多种纵深防护思路保护主机安全。但随着攻防对抗的持续升级,网络攻击呈现规模化、专业化的趋势,客户主机也面临更多如0day漏洞利用攻击、内存马攻击等新型高级威胁和未知漏洞。
参考木桶理论,主机侧防护工作分成内存层、系统层和应用层,内存层就是最短的木板,在面对二进制漏洞利用攻击时,传统防护手段难以达到有效防御。同样,在系统层和应用层,传统杀毒引擎和WAF等防护手段,大多基于规则、特征进行防护,对变种恶意代码、中间件漏洞利用攻击、内存马攻击等高级威胁防护失效,使主机存在极大风险。
主机承载的核心是程序数据,从数据安全角度来分析,可以分为静态数据、暂态数据和动态数据三种形态。当前,传统安全产品具备对静态数据和动态数据的防护能力,而针对暂态数据的防护机制缺失,导致数据面临巨大风险:
1.内存中存在明文数据,容易被窃取;
2.现有的安全机制无法检测到内存威胁,现有的安全访问控制机制在暂态下失效;
3.内存中未知行为难发现、难分析、难取证。
二、内存安全构建立体防护体系
安芯网盾CEO姜向前表示,推动新一代网络安全技术变革有四层驱动力:
1.国际形势动荡带来的新威胁;
2.攻击者的攻击技术在跃迁式升级;
3.全球的数字化进程加快,网络应用呈爆发式增长,而安全滞后于业务发展带来的新需求;
4.人工智能、大数据、云计算等基础设施升级带来的新挑战。
而内存安全这项前沿技术和传统防护手段形成的势能差可以赋能主机安全防护,有效抵御新型威胁。安芯网盾基于内存安全的三层防护体系,能够很好地补足当前针对高级威胁防护的短板:
内存层,采用内存保护技术,能有效防范基于内存的攻击,例如:ROP、布局shellcode、堆栈溢出等,其在二进制漏洞利用攻击防护层面具备很好的效果;
系统层,研发NGAV下一代反病毒引擎,通过行为分析技术,对恶意代码、入侵检测和未知漏洞实现有效防护;
应用层,采用RASP运行时安全防护技术,通过动、静结合的检测思路,能很好防御web攻击、内存马、webshell、和中间件漏洞,从而帮助客户建立程序运行时防护能力。
安芯网盾CEO姜向前介绍道,主机安全防护工作可以参考CWE模型,CWE是一个通用的计算机缺陷字典,由MITRE公司维护。将2021年MITRE公司安全防护前25类威胁进行详细分析并归类,大致可以分为内存威胁、Web威胁、主机威胁和其他威胁四个层面。而基于内存安全技术不仅可以有效发现内存中威胁,结合其他技术手段还能实现内存+主机+Web全栈保护能力。
三、推动安全标准建设,支持信创安全体系
安芯网盾作为国内内存安全的开拓者,一直积极配合监管部门和标准制定机构,推进内存安全相关的标准制定,今后,内存安全标准将逐步建立,促进行业发展。
在助力信创和国产化方面,安芯网盾内存保护系统与windows系统、Linux系统,以及华为、海光、龙芯、兆芯、麒麟、统信等国产化系统分别进行了适配,能够支持企业办公终端、VDI环境、域控环境以及服务器安全保护的多种部署场景,为客户提供更多价值。
