在国内的网络安全市场,内存安全保护技术的发展正处于快速上升阶段,随着客户逐渐了解到内存技术的先进性和必要性,越来越多的厂商开始研究内存保护技术的应用,越来越多的客户也开始大规模地使用该技术产品。
8月4日,国内首期内存安全技术研讨会顺利召开,吸引了5000余位观众在线观看。研讨会上,安芯网盾售前技术总监朱燕涛作为主持人,对话中国网络安全审查技术与认证中心首席专家李京春、资深网络安全专家/雄安新区首席网络安全顾问陆宝华、国家工业信息安全发展研究中心检查评估所副所长孙军和安芯网盾CTO姚纪卫,围绕内存安全的“创新力、竞争力、影响力”三力建设,进行了深入浅出的探讨。
探讨问题1、内存安全是一个比较新的领域,可以应用到哪些场景或领域,它与我们数据安全有什么关系?
加解密技术就是对数据的存储状态、通信状态进行有效防范,让攻击方无法拿到密钥。面对数据在不同存储位置,则需要通过自主访问控制和强制访问控制,在外存当中进行防范。 但大量数据要进行读取、处理,当数据在调取到内存上时,加密技术是无效的,因为加密是对数据的直接保护,而数据的处理不能在加密状态下进行,因此需要通过访问控制保护容器,从而达到保护数据的目的。这一点上,和现在安芯网盾所研发的内存保护系统是类似的,都是对数据的间接保护。
陆宝华老师由通信工程当中信号暂态的概念联想到,数据处于不同位置时的状态也有所不同,对于外存储器来说,数据是静态的,而在信道当中,数据是动态的,是一种流。当数据到达内存中进行处理时,又变成了暂态数据,这时候的数据是非常薄弱的,因为在计算机中,相当多的木马也是静默的,它们不会在外存储器上进行数据窃取。
有些数据特别重要,木马会监控内存中的一些特定数据。比如当操作者输入密钥时,将被木马监控捕获到,这些数据某个时刻必须明文出现在内存中,因此加解密技术也无法解决内存安全问题。
因此,内存保护系统的动态数据监控是非常必要且重要的,这对于内存中数据的保护是非常重要的思路,需要不断地进行下去。
探讨问题2、国内在内存安全成熟度、标准方面还处于早期,内存安全在资质和标准的建设层面有哪些成果和建议?如何提升竞争力?
李京春总工表示,内存安全比较小众,因此想要提升竞争力,就需要做到“三可”,即,对威胁的可知、可控、可防。但要做到“三可”,就需要对整个信息系统和网络做到“三站”,即,站高点、站低点、站重点。
· 站高点:对信息系统的安全,要站在一个高点上,整体、体系化、系统化地进行分析。要对应用层、系统层和内存层全局行为都有感知和关联,才能知道上是由谁发起的、藏在系统什么地方、运行时在什么地方。宏观一些来说:在等级保护制度的基础上,找出重点保护什么,需要关注不同板块的内存问题。
· 站低点:要在内核层去看问题,只有拿到系统内存最底层的控制点,才能看到所有威胁行为。
· 站重点:比起各类软件安全、程序安全,内存安全才是重点。“运行时”是其中最核心问题,因为设备启动、系统加载、应用程序启动都要在内存中运行。
在这三点中,站高点相应的中层和高层的评估标准比较多,如产品和服务评估标准、系统评估标准、云平台评估标准、风险评估、等保测评等,但站低点的评估标准还是空白,即便是即将出台的态势感知也是站在高点上,因此需要尽快推出运行时安全评估的相关标准。
探讨问题3、内存安全影响力在逐步增强,也涉猎到多领域,在工业互联网领域,我们是否有比较好的应用场景?
孙军副所长认为,内存安全有两个层面,一个层面是对内存的保护,另一个层面是基于内存使用的特征,实现对主机或系统网络的安全防护。
而要想知道内存安全在工业互联网领域运行时有哪些特征的话,就需要进一步测试、发现并总结出典型特征。因为这些领域的特殊性比较多,比如:
· 工控业务和日常办公使用电脑不同,主要是和一些组态软件、现场工控设备、仪表系统等做交互,这样的业务下有哪些特征?
· 工控的私有协议在通讯过程中,以及主机交互过程中的内存响应有怎样的特征?
· 针对工控或工业互联网所做的一些攻击,都是定制化的攻击手段,这样的病毒有怎样的特征,在内存中有怎样的体现?
只有摸索出这些领域的特殊性,内存安全才能在工业互联网、关基、工控等领域运用得更好、更成熟。
探讨问题4、安芯网盾在内存安全的“创新力”上做了哪些成果?
安芯网盾创始人兼CTO姚纪卫介绍到,目前,安芯网盾在内存安全上所做的探索,基本都是基于行为去解决问题。要抓更多的行为,就需要站在内存比较底层的地方,才能形成更强的检测能力。
现阶段下,安芯网盾做到了以下几点突破:
- 漏洞检测:对内存上的异常访问,不是依据特征,而是根据异常行为去发现。针对内存破坏型漏洞、web层面漏洞、逻辑漏洞都取得了一些成绩,在漏洞上形成了较全面的突破;
- 无文件攻击:针对Windows平台的攻击,很多都是无文件攻击,这类攻击基本都在内存上,不会落地。安芯网盾对无文件攻击做了较深的技术研究,且实现了商业化,通过在解释器内部进行检测,达到了相当高的检出率;
- 行为检测:安芯网盾核心团队在早年研发出国内第一款基于反病毒虚拟机技术的“未知病毒检测引擎”,在VB100评测中取得了第二名的成绩,是第四家入驻VirusTotal的中国厂商。现在,我们把这套思路复制到运行时检测上,目前的检出率大概在40-60%之间,还在不断努力提升;
- Webshell检测:通过RASP技术,能检测到很多内存马攻击,目前已经达到国内一流水平;
- 特殊场景突破:对一些客户常见的攻击场景进行突破,比如域控、钓鱼邮件等场景,这些攻击和无文件、漏洞检测能力也是匹配的,同时还能对攻击进来以后的横向移动行为进行检测。
同时,在软件Agent上,我们也做了很多技术突破。因为我们的Agent有很多基于行为检测的功能,检测需借用系统底层能力,这会让很多客户对软件稳定性、兼容性有所顾虑。我们目前已经做到了很多工作:安装软件后不用重启系统和客户业务;同时经过不断的研发,目前我们的稳定性和兼容性也是有保障的,比如在有些客户公司部署上万台机器,稳定运行长达2年,也给客户带来了比较大的价值。
通过此次内存安全技术研讨会,安芯网盾希望能让更多企业用户了解到内存安全的重要性,我们也会在内存安全保护产品的技术研发上不断突破创新,为提升内存安全在安全领域的“三力”不断贡献力量。