在國內的網路安全市場,記憶體安全保護技術的發展正處於快速上升階段,隨著客戶逐漸瞭解到記憶體技術的先進性和必要性,越來越多的廠商開始研究記憶體保護技術的應用,越來越多的客戶也開始大規模地使用該技術產品。
8月4日,國內首期記憶體安全技術研討會順利召開,吸引了5000餘位觀眾線上觀看。研討會上,安芯網盾售前技術總監朱燕濤作為主持人,對話中國網路安全審查技術與認證中心首席專家李京春、資深網路安全專家/雄安新區首席網路安全顧問陸寶華、國家工業資訊保安發展研究中心檢查評估所副所長孫軍和安芯網盾CTO姚紀衛,圍繞記憶體安全的“創新力、競爭力、影響力”三力建設,進行了深入淺出的探討。
探討問題1、記憶體安全是一個比較新的領域,可以應用到哪些場景或領域,它與我們資料安全有什麼關係?
加解密技術就是對資料的儲存狀態、通訊狀態進行有效防範,讓攻擊方無法拿到金鑰。面對資料在不同儲存位置,則需要透過自主訪問控制和強制訪問控制,在外存當中進行防範。 但大量資料要進行讀取、處理,當資料在調取到記憶體上時,加密技術是無效的,因為加密是對資料的直接保護,而資料的處理不能在加密狀態下進行,因此需要透過訪問控制保護容器,從而達到保護資料的目的。這一點上,和現在安芯網盾所研發的記憶體保護系統是類似的,都是對資料的間接保護。
陸寶華老師由通訊工程當中訊號暫態的概念聯想到,資料處於不同位置時的狀態也有所不同,對於外儲存器來說,資料是靜態的,而在通道當中,資料是動態的,是一種流。當資料到達記憶體中進行處理時,又變成了暫態資料,這時候的資料是非常薄弱的,因為在計算機中,相當多的木馬也是靜默的,它們不會在外儲存器上進行資料竊取。
有些資料特別重要,木馬會監控記憶體中的一些特定資料。比如當操作者輸入金鑰時,將被木馬監控捕獲到,這些資料某個時刻必須明文出現在記憶體中,因此加解密技術也無法解決記憶體安全問題。
因此,記憶體保護系統的動態資料監控是非常必要且重要的,這對於記憶體中資料的保護是非常重要的思路,需要不斷地進行下去。
探討問題2、國內在記憶體安全成熟度、標準方面還處於早期,記憶體安全在資質和標準的建設層面有哪些成果和建議?如何提升競爭力?
李京春總工表示,記憶體安全比較小眾,因此想要提升競爭力,就需要做到“三可”,即,對威脅的可知、可控、可防。但要做到“三可”,就需要對整個資訊系統和網路做到“三站”,即,站高點、站低點、站重點。
· 站高點:對資訊系統的安全,要站在一個高點上,整體、體系化、系統化地進行分析。要對應用層、系統層和記憶體層全域性行為都有感知和關聯,才能知道上是由誰發起的、藏在系統什麼地方、執行時在什麼地方。宏觀一些來說:在等級保護制度的基礎上,找出重點保護什麼,需要關注不同板塊的記憶體問題。
· 站低點:要在核心層去看問題,只有拿到系統記憶體最底層的控制點,才能看到所有威脅行為。
· 站重點:比起各類軟體安全、程式安全,記憶體安全才是重點。“執行時”是其中最核心問題,因為裝置啟動、系統載入、應用程式啟動都要在記憶體中執行。
在這三點中,站高點相應的中層和高層的評估標準比較多,如產品和服務評估標準、系統評估標準、雲平臺評估標準、風險評估、等保測評等,但站低點的評估標準還是空白,即便是即將出臺的態勢感知也是站在高點上,因此需要儘快推出執行時安全評估的相關標準。
探討問題3、記憶體安全影響力在逐步增強,也涉獵到多領域,在工業網際網路領域,我們是否有比較好的應用場景?
孫軍副所長認為,記憶體安全有兩個層面,一個層面是對記憶體的保護,另一個層面是基於記憶體使用的特徵,實現對主機或系統網路的安全防護。
而要想知道記憶體安全在工業網際網路領域執行時有哪些特徵的話,就需要進一步測試、發現並總結出典型特徵。因為這些領域的特殊性比較多,比如:
· 工控業務和日常辦公使用電腦不同,主要是和一些組態軟體、現場工控裝置、儀表系統等做互動,這樣的業務下有哪些特徵?
· 工控的私有協議在通訊過程中,以及主機互動過程中的記憶體響應有怎樣的特徵?
· 針對工控或工業網際網路所做的一些攻擊,都是定製化的攻擊手段,這樣的病毒有怎樣的特徵,在記憶體中有怎樣的體現?
只有摸索出這些領域的特殊性,記憶體安全才能在工業網際網路、關基、工控等領域運用得更好、更成熟。
探討問題4、安芯網盾在記憶體安全的“創新力”上做了哪些成果?
安芯網盾創始人兼CTO姚紀衛介紹到,目前,安芯網盾在記憶體安全上所做的探索,基本都是基於行為去解決問題。要抓更多的行為,就需要站在記憶體比較底層的地方,才能形成更強的檢測能力。
現階段下,安芯網盾做到了以下幾點突破:
- 漏洞檢測:對記憶體上的異常訪問,不是依據特徵,而是根據異常行為去發現。針對記憶體破壞型漏洞、web層面漏洞、邏輯漏洞都取得了一些成績,在漏洞上形成了較全面的突破;
- 無檔案攻擊:針對Windows平臺的攻擊,很多都是無檔案攻擊,這類攻擊基本都在記憶體上,不會落地。安芯網盾對無檔案攻擊做了較深的技術研究,且實現了商業化,透過在直譯器內部進行檢測,達到了相當高的檢出率;
- 行為檢測:安芯網盾核心團隊在早年研發出國內第一款基於反病毒虛擬機器技術的“未知病毒檢測引擎”,在VB100評測中取得了第二名的成績,是第四家入駐VirusTotal的中國廠商。現在,我們把這套思路複製到執行時檢測上,目前的檢出率大概在40-60%之間,還在不斷努力提升;
- Webshell檢測:透過RASP技術,能檢測到很多記憶體馬攻擊,目前已經達到國內一流水平;
- 特殊場景突破:對一些客戶常見的攻擊場景進行突破,比如域控、釣魚郵件等場景,這些攻擊和無檔案、漏洞檢測能力也是匹配的,同時還能對攻擊進來以後的橫向移動行為進行檢測。
同時,在軟體Agent上,我們也做了很多技術突破。因為我們的Agent有很多基於行為檢測的功能,檢測需借用系統底層能力,這會讓很多客戶對軟體穩定性、相容性有所顧慮。我們目前已經做到了很多工作:安裝軟體後不用重啟系統和客戶業務;同時經過不斷的研發,目前我們的穩定性和相容性也是有保障的,比如在有些客戶公司部署上萬臺機器,穩定執行長達2年,也給客戶帶來了比較大的價值。
透過此次記憶體安全技術研討會,安芯網盾希望能讓更多企業使用者瞭解到記憶體安全的重要性,我們也會在記憶體安全保護產品的技術研發上不斷突破創新,為提升記憶體安全在安全領域的“三力”不斷貢獻力量。