■本刊記者 趙志遠(yuǎn)

近年來(lái)人們開(kāi)始摒棄原有邊界安全防護(hù)，并將目光轉(zhuǎn)移到主機(jī)上。安芯網(wǎng)盾（北京）科技有限公司（以下簡(jiǎn)稱(chēng)“安芯網(wǎng)盾”）創(chuàng)新性地提出基于內(nèi)存保護(hù)技術(shù)，實(shí)現(xiàn)對(duì)主機(jī)的安全防護(hù)。本刊記者采訪了安芯網(wǎng)盾CEO姜向前和CTO姚紀(jì)衛(wèi)，他們分享了該創(chuàng)新技術(shù)理念。

安芯網(wǎng)盾CEO 姜向前（左）安芯網(wǎng)盾CTO 姚紀(jì)衛(wèi)（右）

如今網(wǎng)絡(luò)攻擊正在給企業(yè)帶來(lái)嚴(yán)重威脅，思科2019年首席信息安全官（CISO）基準(zhǔn)研究報(bào)告顯示，在亞太地區(qū)網(wǎng)絡(luò)攻擊導(dǎo)致的損失呈上升趨勢(shì)，有16%的公司在過(guò)去一年因最嚴(yán)重的攻擊行為所導(dǎo)致的財(cái)務(wù)損失超500萬(wàn)美元。

面對(duì)新技術(shù)的發(fā)展帶來(lái)攻守之勢(shì)的變化，網(wǎng)絡(luò)安全需要?jiǎng)?chuàng)新技術(shù)方能應(yīng)對(duì)，安芯網(wǎng)盾就是一家極具創(chuàng)新力的初創(chuàng)安全公司，是國(guó)內(nèi)第一家基于硬件虛擬化前沿技術(shù)保護(hù)企業(yè)主機(jī)安全的技術(shù)服務(wù)商。

打破安全邊界，回歸安全本質(zhì)，防護(hù)主機(jī)安全

在談到主機(jī)安全防護(hù)方面，安芯網(wǎng)盾CEO姜向前表示，“面對(duì)傳統(tǒng)網(wǎng)絡(luò)安全邊界防護(hù)逐漸失效的現(xiàn)狀，我們應(yīng)當(dāng)轉(zhuǎn)變觀念，網(wǎng)絡(luò)安全應(yīng)當(dāng)回歸到安全的本質(zhì)上來(lái)，企業(yè)的核心數(shù)據(jù)資產(chǎn)在主機(jī)上，因此確保企業(yè)業(yè)務(wù)安全就要保障主機(jī)的安全。”

目前專(zhuān)注于主機(jī)安全防護(hù)的安全公司不在少數(shù)，且憑借各自的安全理念和擅長(zhǎng)的安全技術(shù)深耕于主機(jī)安全領(lǐng)域。有憑借EDR（端點(diǎn)檢測(cè)與響應(yīng)）技術(shù)應(yīng)用于主機(jī)入侵防御系統(tǒng)，實(shí)現(xiàn)主機(jī)高級(jí)威脅檢測(cè)，也有基于新興的自適應(yīng)安全理念實(shí)現(xiàn)對(duì)主機(jī)的資產(chǎn)清點(diǎn)與發(fā)現(xiàn)等等，可謂八仙過(guò)海各顯神通。

“這些技術(shù)各有千秋”，姜向前在分析當(dāng)前主機(jī)安全防護(hù)技術(shù)時(shí)表示，“但安芯網(wǎng)盾不同之處在于深入底層硬件來(lái)做防護(hù)，以智能內(nèi)存保護(hù)技術(shù)為切入點(diǎn)來(lái)保護(hù)企業(yè)主機(jī)安全?！?/p>

以內(nèi)存保護(hù)為切入點(diǎn)，治標(biāo)也要治本

基于硬件虛擬化技術(shù)來(lái)對(duì)內(nèi)存進(jìn)行防護(hù)，聽(tīng)起來(lái)令人眼前一亮，也有些讓人一知半解，似乎在業(yè)界并未聽(tīng)說(shuō)過(guò)這樣一種安全技術(shù)。的確，這項(xiàng)技術(shù)在國(guó)內(nèi)尚屬首創(chuàng)，甚至在國(guó)外也少有類(lèi)似的技術(shù)。

安芯網(wǎng)盾CTO姚紀(jì)衛(wèi)解釋說(shuō)，目前大多主機(jī)安全防護(hù)還是圍繞應(yīng)用層或系統(tǒng)層，這可以防御多數(shù)常見(jiàn)的威脅，但近年來(lái)出現(xiàn)很多的高級(jí)攻擊深入硬件底層，諸如Spectre和Meltdown漏洞等。大部分安全工具在面對(duì)新型威脅和內(nèi)部威脅時(shí)缺點(diǎn)暴露無(wú)遺：由于惡意程序不再有心跳信息導(dǎo)致安全產(chǎn)品發(fā)現(xiàn)能力弱；有報(bào)警而無(wú)所作為……這些安全產(chǎn)品工作在應(yīng)用層或系統(tǒng)層而無(wú)法觸及到硬件層，是很難在第一時(shí)間發(fā)現(xiàn)并阻斷這些威脅，因此難以從根本上進(jìn)行防范。

而現(xiàn)在常見(jiàn)的反病毒技術(shù)無(wú)非是針對(duì)發(fā)現(xiàn)的病毒樣本建立病毒庫(kù)，一旦出現(xiàn)新病毒或變種就加入到病毒庫(kù)，但這種方式一來(lái)具有滯后性和被動(dòng)性，二來(lái)病毒庫(kù)將越來(lái)越龐大，難以維護(hù)，治標(biāo)不治本。

并且由于系統(tǒng)的某些限制，傳統(tǒng)工作在應(yīng)用層或系統(tǒng)層的安全技術(shù)無(wú)法全面監(jiān)控系統(tǒng)行為，很多安全功能在系統(tǒng)驅(qū)動(dòng)層是實(shí)現(xiàn)不了的，因此要想攔截此類(lèi)威脅，就必須將安全機(jī)制下沉到硬件底層。

安芯網(wǎng)盾技術(shù)團(tuán)隊(duì)分析認(rèn)為，不論威脅代碼如何變化，計(jì)算機(jī)體系結(jié)構(gòu)決定了任何安全威脅都需要經(jīng)過(guò)CPU進(jìn)行運(yùn)算，其數(shù)據(jù)都需要經(jīng)過(guò)內(nèi)存進(jìn)行存儲(chǔ)，理論上基于CPU指令集這一層面實(shí)現(xiàn)的安全方案可以有效防御所有威脅，只要盯住內(nèi)存，就能發(fā)現(xiàn)威脅的一舉一動(dòng)。因此，安芯網(wǎng)盾以此為切入點(diǎn)，實(shí)現(xiàn)對(duì)內(nèi)存的監(jiān)控，這樣就可以了解到在其之上的系統(tǒng)層和應(yīng)用層都發(fā)生了什么，繼而各類(lèi)威脅也將一覽無(wú)余。

安芯神甲內(nèi)存保護(hù)系統(tǒng)本質(zhì)上就是內(nèi)存防火墻，但國(guó)外的某些相關(guān)產(chǎn)品還是基于系統(tǒng)層或應(yīng)用層對(duì)進(jìn)程進(jìn)行分析，并非真正的基于硬件防護(hù)，而安芯網(wǎng)盾的內(nèi)存保護(hù)能夠真正下沉到CPU內(nèi)存，從而實(shí)現(xiàn)對(duì)主機(jī)中最核心部位的安全防護(hù)。

在姚紀(jì)衛(wèi)看來(lái)，以硬件層為切入點(diǎn)除了以上優(yōu)勢(shì)外，還有其他很多好處，由于基于應(yīng)用層的安全技術(shù)需要適配的東西很多，包括用戶的業(yè)務(wù)系統(tǒng)、操作系統(tǒng)、數(shù)據(jù)庫(kù)乃至各種硬件，在不同行業(yè)的解決方案中的各類(lèi)代碼修改量要在30%以上，即便同行業(yè)不同客戶的方案代碼修改量也在15%以上，工作量巨大。但對(duì)于硬件虛擬化技術(shù)來(lái)說(shuō)需要適配的就非常有限了，無(wú)非就是幾家廠商的CPU和十幾款主流的OS內(nèi)核等，相比而言以上兩項(xiàng)數(shù)據(jù)是非常低的。

為什么在市場(chǎng)上很少見(jiàn)到這種技術(shù)，也很少有安全廠商涉及？姜向前介紹，相比其他安全技術(shù)來(lái)說(shuō)，從硬件層入手是非常難的?；贑PU的硬件層面安全防護(hù)技術(shù)也是在近年來(lái)隨著“安可工程”開(kāi)始被客戶接受，加之安芯網(wǎng)盾團(tuán)隊(duì)成員擁有十多年反病毒技術(shù)積累，經(jīng)過(guò)對(duì)海量惡意樣本的研究，對(duì)于數(shù)據(jù)在內(nèi)存執(zhí)行情況以及以此建立的內(nèi)存保護(hù)模型可以說(shuō)是輕車(chē)熟路。

基于硬件虛擬化來(lái)等前沿技術(shù)做內(nèi)存保護(hù)需要兩個(gè)方面的技術(shù)積累，一是安全專(zhuān)家，二是系統(tǒng)專(zhuān)家，姚紀(jì)衛(wèi)就是這樣一位既懂安全又精通系統(tǒng)架構(gòu)的雙料專(zhuān)家。十幾年來(lái)他一直不曾中斷過(guò)對(duì)于未知病毒的啟發(fā)式檢測(cè)、病毒識(shí)別、虛擬機(jī)、內(nèi)存安全檢測(cè)與防護(hù)等技術(shù)的專(zhuān)研，他以網(wǎng)名Linxer發(fā)布了幾款國(guó)際知名的安全軟件，積攢了他在安全圈的名氣。

一流的團(tuán)隊(duì)打造一流的產(chǎn)品，在這樣的標(biāo)準(zhǔn)之下，安芯網(wǎng)盾在選拔技術(shù)人才方面的要求是非常嚴(yán)格的，只有擁有實(shí)打?qū)嵉募夹g(shù)的人才能接納進(jìn)團(tuán)隊(duì)，正如Linux的創(chuàng)始人Linus的名言——Talk is cheap, show me the code，公司CTO姚紀(jì)衛(wèi)在考察新人時(shí)極為嚴(yán)苛，在招聘環(huán)節(jié)就真槍實(shí)彈看其實(shí)際寫(xiě)代碼的能力，只有技術(shù)能力過(guò)硬的人方能勝任。

圖1 安芯神甲智能內(nèi)存保護(hù)系統(tǒng)

經(jīng)得起實(shí)踐檢驗(yàn)，內(nèi)存防保護(hù)的落地應(yīng)用

目前安芯網(wǎng)盾基于硬件虛擬化等前沿技術(shù)已打造出三類(lèi)安全產(chǎn)品和解決方案，包括安芯神甲智能內(nèi)存保護(hù)系統(tǒng)、系統(tǒng)信息檢測(cè)平臺(tái)和未知威脅文件檢測(cè)系統(tǒng)。其中安芯神甲（如圖1）基于實(shí)時(shí)的程序行為監(jiān)控、內(nèi)存操作監(jiān)控等技術(shù)實(shí)現(xiàn)了進(jìn)程級(jí)別的內(nèi)存保護(hù)，確保用戶核心業(yè)務(wù)應(yīng)用程序不會(huì)因病毒竊取、漏洞觸發(fā)而遭受攻擊。不同于常規(guī)安全產(chǎn)品只運(yùn)行在應(yīng)用層或者系統(tǒng)層，安芯神甲智能內(nèi)存保護(hù)系統(tǒng)能夠在應(yīng)用層、系統(tǒng)層、硬件層提供有機(jī)結(jié)合的立體防護(hù)。

網(wǎng)絡(luò)安全技術(shù)層出不窮，新技術(shù)和新產(chǎn)品只有經(jīng)得起實(shí)踐的檢驗(yàn)才能真正贏得客戶和市場(chǎng)，但面對(duì)這些在市場(chǎng)剛剛嶄露頭角的創(chuàng)新安全技術(shù)，某些對(duì)業(yè)務(wù)系統(tǒng)穩(wěn)定性要求極高的行業(yè)例如金融等行業(yè)，是否愿意采用并承擔(dān)由此帶來(lái)的應(yīng)用風(fēng)險(xiǎn)呢？

這個(gè)問(wèn)題如果放在幾年以前或許是個(gè)難題，但今時(shí)不同往日，隨著網(wǎng)絡(luò)安全越來(lái)越受到重視，企業(yè)管理者已將網(wǎng)絡(luò)安全上升到企業(yè)戰(zhàn)略高度，同時(shí)相應(yīng)的CSO或安全負(fù)責(zé)人也不再只是不懂網(wǎng)絡(luò)安全的管理者兼任，而是由專(zhuān)業(yè)安全人員專(zhuān)職，他們對(duì)網(wǎng)絡(luò)安全的理解和自身安全需求了如指掌，因此對(duì)安全新技術(shù)和新產(chǎn)品也往往保持開(kāi)放心態(tài)，只要經(jīng)得起實(shí)踐檢驗(yàn)的新產(chǎn)品，他們?cè)敢庾龀鰢L試。

姜向前對(duì)此也頗有感觸，安芯網(wǎng)盾所接觸的企業(yè)客戶負(fù)責(zé)人大都精通安全技術(shù)，擁有很高的專(zhuān)業(yè)素養(yǎng)，在談到網(wǎng)絡(luò)安全創(chuàng)新技術(shù)時(shí)非常樂(lè)于嘗試，并按照自身的仿真環(huán)境來(lái)做測(cè)試和驗(yàn)證。目前安芯神甲產(chǎn)品已在某些應(yīng)用環(huán)境要求很高的客戶中得到了很好的應(yīng)用。

安芯網(wǎng)盾最為成熟的案例還是在Google公司身上并得到檢驗(yàn)，早在2009年姜向前和姚紀(jì)衛(wèi)曾一起創(chuàng)立了百銳安全實(shí)驗(yàn)室，研發(fā)的國(guó)內(nèi)公開(kāi)的第一款基于反病毒虛擬機(jī)技術(shù)的未知病毒檢測(cè)引擎就已為Google服務(wù)器中運(yùn)行，該產(chǎn)品在VB100國(guó)際權(quán)威測(cè)評(píng)機(jī)構(gòu)獲得了國(guó)際領(lǐng)先的成績(jī)，到如今已剛好十年，其穩(wěn)定性和兼容性得到了很好的檢驗(yàn)。不止如此，除了將這種安全能力賦予客戶外，安芯網(wǎng)盾還將其輸出給安全廠商，幫助他們來(lái)增強(qiáng)相應(yīng)的安全產(chǎn)品功能。

隨著等保2.0的正式出臺(tái)，企業(yè)業(yè)務(wù)和IT系統(tǒng)將面對(duì)更大的合規(guī)壓力。對(duì)此，姜向前認(rèn)為，企業(yè)的CTO和CSO在建立IT系統(tǒng)和安全體系時(shí)，不能僅局限于合規(guī)，而應(yīng)當(dāng)從自身業(yè)務(wù)的角度出發(fā)，在符合等保要求的基礎(chǔ)上打造適合業(yè)務(wù)發(fā)展的安全體系，確保核心數(shù)據(jù)資產(chǎn)的安全。

等保2.0一級(jí)至四級(jí)安全要求中規(guī)定了對(duì)惡意代碼的防范，其中第四級(jí)安全要求還規(guī)定“應(yīng)采用主動(dòng)免疫可信驗(yàn)證機(jī)制及時(shí)識(shí)別入侵和病毒行為，并將其有效阻斷”。安芯網(wǎng)盾的產(chǎn)品可對(duì)惡意代碼檢測(cè)防御提供四級(jí)安全防護(hù)，從內(nèi)存級(jí)別實(shí)現(xiàn)對(duì)惡意代碼的檢測(cè)和阻斷，為企業(yè)安全防護(hù)體系提供有效支撐。

如今在安全領(lǐng)域有很多初創(chuàng)企業(yè)，憑借創(chuàng)新技術(shù)在細(xì)分安全領(lǐng)域開(kāi)創(chuàng)自己的一片天地。安芯網(wǎng)盾就是這樣一家技術(shù)驅(qū)動(dòng)型的安全創(chuàng)新企業(yè)。公司的聯(lián)合創(chuàng)始人CEO姜向前和CTO姚紀(jì)衛(wèi)都是在安全圈有著十多年經(jīng)驗(yàn)的老人，正是這種在安全領(lǐng)域的常年積累和打拼，在經(jīng)過(guò)無(wú)數(shù)次的頭腦風(fēng)暴和不斷的磨合，才造就了這種全新的基于硬件虛擬化等前沿技術(shù)的智能內(nèi)存保護(hù)技術(shù)。盡管公司才剛剛起步，但正如姜向前的期許，“安芯神甲智能內(nèi)存保護(hù)系統(tǒng)會(huì)安靜地防御各種攻擊，希望這種新技術(shù)能為網(wǎng)絡(luò)安全市場(chǎng)帶來(lái)新的活力，通過(guò)技術(shù)創(chuàng)新為社會(huì)創(chuàng)造價(jià)值?！?/p>