微軟安全工程師馬特·米勒在 2019 年以色列安全大會上表示,微軟旗下的產品在過去 12 年修復的所有漏洞中,有七成是內存安全問題。
過去的一年,內存安全問題日益嚴峻,內存保護技術也開始被重視,內存安全問題是各類系統和應用所面臨的最大攻擊來源,往往0day漏洞和無文件攻擊成為現階段黑客常用的攻擊手段,這也成為企業在安全能力建設中的痛點。
一、 內存安全的概念
內存安全的核心原理是從計算機的體系結構出發,任何需要CPU執行的代碼、處理的數據都需要經過內存進行存儲。通過監控CPU指令可以監控內存代碼和數據狀態。通過內存虛擬化等技術來監控內存的讀、寫、執行行為可以有效防禦各種威脅。
內存安全由內存監控、程序行為監控、智能分析、系統安全增強和安全響應等構成,可阻止異常內存訪問和惡意代碼執行等攻擊行為,為計算機系統構建一個完整的內存安全環境。
二、 內存安全主要功能
1、漏洞檢測與防禦
通過細粒度的監控內存讀、寫、執行行為,可實時檢測內存中存在堆棧代碼執行、內存數據覆蓋等異常行為,結合攔截模塊高效防禦漏洞攻擊。
2、內存數據防竊取
通過硬體虛擬化技術對內存中關鍵業務進行打點,並通過對業務的關聯分析,監控應用對業務相關內存數據的多讀、掛鈎、篡改等行為,保護業務核心數據資產不被竊取。
3、威脅行為分析
基於CPU指令集的監控,監控內存代碼、數據狀態,實時感知內存數據流動狀態和程序的具體行為動作,配合AI技術實時對病毒進行識別,能防禦已知病毒和未知病毒。
三、 內存安全產品價值
1、防護未知威脅攻擊
網絡攻擊手段呈現複雜化、智能化、組織化等特點,傳統老三樣(防火牆、入侵檢測、防病毒)僅僅是增加了攻擊者的攻擊成本,基於規則匹配模式的防護方案,在面對新型攻擊幾乎沒有任何防禦能力。
內存安全產品不依賴於傳統的特徵庫匹配模式,安芯網盾內存安全產品智能內存保護系統基於硬體虛擬化技術對內存數據進行監控,並對內存數據進行分析,實現內存級別的應用程式監控。通過監控程序內存行為及執行路徑,有效防護新型攻擊。
2、保護業務連續性
傳統的安全方案側重於網絡保護和授權,無法防禦基於內存的攻擊,而基於內存的攻擊發生在應用程式內部。
內存保護技術通過映射程序的合法執行路徑,實時檢測並阻止攻擊。確保核心業務應用程式只按照預期的方式運行,不會因病毒竊取、漏洞觸發而遭受攻擊,切實有效保護業務連續性。
3、解決白名單安全無法阻止的威脅
安全邊界正在消失,端點安全成為趨勢,但是大多數端點安全解決方案專注於用戶設備、系統合規性和系統安全性,並且會產生大量誤報。程序白名單技術的使用越來越多,但依然無法防禦白利用和無文件攻擊,內存安全可以有效防護這類威脅。
4、立體、準確防護
傳統的安全產品只運行在應用層或者系統層,內存安全產品能夠在應用層、系統層、硬體層提供有機結合的立體防護。
傳統的安全產品會產生大量報警卻難以響應,內存安全產品可以準確防禦各種攻擊,並在威脅造成損害之前阻止它們。
四、 內存安全應用場景
儘管企業和機構都部署了大量的安全防護產品,但攻擊者仍然能夠輕而易舉的突破層層防線,複雜的網絡攻擊在不斷增加。內存安全產品基於實時的程序行為監控、內存操作監控等技術實現在應用程式級別保護內存,確保用戶核心業務應用程式只按照預期的方式運行,不會因病毒竊取、漏洞觸發而遭受攻擊,切實有效的保護客戶核心業務不被阻斷,核心數據資產不被竊取。
內存安全相關產品在國外的應用已經初具規模, 2016 年Gartner將內存保護技術列為面向未來的十大信息安全技術之一, 2018 年CRN將內存安全產品列為 20 個熱門安全產品中的頂級產品。安芯網盾作為國內內存安全領域的明星公司,其內存安全產品安芯神甲智能內存保護系統支持多種部署模式,廣泛應用於政府、金融、醫療、軍工、能源等重要領域。
2020 年 1 月,由國內網絡安全專業諮詢機構數世諮詢發布的《中國網絡安全能力圖譜》中,內存安全作為端點安全中一項新的主流及具備鮮明特點的分類被關注。