微软安全工程师马特·米勒在2019年以色列安全大会上表示,微软旗下的产品在过去12年修复的所有漏洞中,有七成是内存安全问题。
过去的一年,内存安全问题日益严峻,内存保护技术也开始被重视,内存安全问题是各类系统和应用所面临的主要攻击来源,往往0day漏洞和无文件攻击成为现阶段黑客常用的攻击手段,这也成为企业在安全能力建设中的痛点。
一、 内存安全的概念
内存安全的核心原理是从计算机的体系结构出发,任何需要CPU执行的代码、处理的数据都需要经过内存进行存储。通过监控CPU指令可以监控内存代码和数据状态。通过内存虚拟化等技术来监控内存的读、写、执行行为可以有效防御各种威胁。
内存安全由内存监控、程序行为监控、智能分析、系统安全增强和安全响应等构成,可阻止异常内存访问和恶意代码执行等攻击行为,为计算机系统构建一个完整的内存安全环境。
二、 内存安全主要功能
1、漏洞检测与防御:通过细粒度的监控内存读、写、执行行为,可实时检测内存中存在堆栈代码执行、内存数据覆盖等异常行为,结合拦截模块高效防御漏洞攻击。
2、内存数据防窃取:通过硬件虚拟化技术对内存中关键业务进行打点,并通过对业务的关联分析,监控应用对业务相关内存数据的多读、挂钩、篡改等行为,保护业务核心数据资产不被窃取。
3、威胁行为分析:基于CPU指令集的监控,监控内存代码、数据状态,实时感知内存数据流动状态和程序的具体行为动作,配合AI技术实时对病毒进行识别,能防御已知病毒和未知病毒。
三、 内存安全产品价值
1、防护未知威胁攻击
网络攻击手段呈现复杂化、智能化、组织化等特点,传统老三样(防火墙、入侵检测、防病毒)仅仅是增加了攻击者的攻击成本,基于规则匹配模式的防护方案,在面对新型攻击几乎没有任何防御能力。
内存安全产品不依赖于传统的特征库匹配模式,安芯网盾内存安全产品智能内存保护系统基于硬件虚拟化技术对内存数据进行监控,并对内存数据进行分析,实现内存级别的应用程序监控。通过监控程序内存行为及执行路径,有效防护新型攻击。
2、保护业务连续性
传统的安全方案侧重于网络保护和授权,无法防御基于内存的攻击,而基于内存的攻击发生在应用程序内部。
内存保护技术通过映射程序的合法执行路径,实时检测并阻止攻击。确保核心业务应用程序只按照预期的方式运行,不会因病毒窃取、漏洞触发而遭受攻击,切实有效保护业务连续性。
3、解决白名单安全无法阻止的威胁
安全边界正在消失,端点安全成为趋势,但是大多数端点安全解决方案专注于用户设备、系统合规性和系统安全性,并且会产生大量误报。程序白名单技术的使用越来越多,但依然无法防御白利用和无文件攻击,内存安全可以有效防护这类威胁。
4、立体、准确防护
传统的安全产品只运行在应用层或者系统层,内存安全产品能够在应用层、系统层、硬件层提供有机结合的立体防护。
传统的安全产品会产生大量报警却难以响应,内存安全产品可以准确防御各种攻击,并在威胁造成损害之前阻止它们。
四、 内存安全应用场景
尽管企业和机构都部署了大量的安全防护产品,但攻击者仍然能够轻而易举的突破层层防线,复杂的网络攻击在不断增加。内存安全产品基于实时的程序行为监控、内存操作监控等技术实现在应用程序级别保护内存,确保用户核心业务应用程序只按照预期的方式运行,不会因病毒窃取、漏洞触发而遭受攻击,切实有效的保护客户核心业务不被阻断,核心数据资产不被窃取。
内存安全相关产品在国外的应用已经初具规模,2016年Gartner将内存保护技术列为面向未来的十大信息安全技术之一,2018年CRN将内存安全产品列为20个热门安全产品中的重要产品。安芯网盾作为国内内存安全领域的明星公司,其内存安全产品安芯神甲智能内存保护系统支持多种部署模式,广泛应用于政府、金融、医疗、军工、能源等重要领域。
2020年1月,由国内网络安全专业咨询机构数世咨询发布的《中国网络安全能力图谱》中,内存安全作为端点安全中一项新的主流及具备鲜明特点的分类被关注。