安芯網盾：以內存保護技術實現真正的主機安全

■本刊記者 趙志遠

近年來人們開始摒棄原有邊界安全防護，并將目光轉移到主機上。安芯網盾（北京）科技有限公司（以下簡稱“安芯網盾”）創新性地提出基于內存保護技術，實現對主機的安全防護。本刊記者采訪了安芯網盾CEO姜向前和CTO姚紀衛，他們分享了該創新技術理念。

安芯網盾CEO 姜向前（左）安芯網盾CTO 姚紀衛（右）

如今網絡攻擊正在給企業帶來嚴重威脅，思科2019年首席信息安全官（CISO）基準研究報告顯示，在亞太地區網絡攻擊導致的損失呈上升趨勢，有16%的公司在過去一年因最嚴重的攻擊行為所導致的財務損失超500萬美元。

面對新技術的發展帶來攻守之勢的變化，網絡安全需要創新技術方能應對，安芯網盾就是一家極具創新力的初創安全公司，是國內第一家基于硬件虛擬化前沿技術保護企業主機安全的技術服務商。

打破安全邊界，回歸安全本質，防護主機安全

在談到主機安全防護方面，安芯網盾CEO姜向前表示，“面對傳統網絡安全邊界防護逐漸失效的現狀，我們應當轉變觀念，網絡安全應當回歸到安全的本質上來，企業的核心數據資產在主機上，因此確保企業業務安全就要保障主機的安全。”

目前專注于主機安全防護的安全公司不在少數，且憑借各自的安全理念和擅長的安全技術深耕于主機安全領域。有憑借EDR（端點檢測與響應）技術應用于主機入侵防御系統，實現主機高級威脅檢測，也有基于新興的自適應安全理念實現對主機的資產清點與發現等等，可謂八仙過海各顯神通。

“這些技術各有千秋”，姜向前在分析當前主機安全防護技術時表示，“但安芯網盾不同之處在于深入底層硬件來做防護，以智能內存保護技術為切入點來保護企業主機安全。”

以內存保護為切入點，治標也要治本

基于硬件虛擬化技術來對內存進行防護，聽起來令人眼前一亮，也有些讓人一知半解，似乎在業界并未聽說過這樣一種安全技術。的確，這項技術在國內尚屬首創，甚至在國外也少有類似的技術。

安芯網盾CTO姚紀衛解釋說，目前大多主機安全防護還是圍繞應用層或系統層，這可以防御多數常見的威脅，但近年來出現很多的高級攻擊深入硬件底層，諸如Spectre和Meltdown漏洞等。大部分安全工具在面對新型威脅和內部威脅時缺點暴露無遺：由于惡意程序不再有心跳信息導致安全產品發現能力弱；有報警而無所作為……這些安全產品工作在應用層或系統層而無法觸及到硬件層，是很難在第一時間發現并阻斷這些威脅，因此難以從根本上進行防范。

而現在常見的反病毒技術無非是針對發現的病毒樣本建立病毒庫，一旦出現新病毒或變種就加入到病毒庫，但這種方式一來具有滯后性和被動性，二來病毒庫將越來越龐大，難以維護，治標不治本。

并且由于系統的某些限制，傳統工作在應用層或系統層的安全技術無法全面監控系統行為，很多安全功能在系統驅動層是實現不了的，因此要想攔截此類威脅，就必須將安全機制下沉到硬件底層。

安芯網盾技術團隊分析認為，不論威脅代碼如何變化，計算機體系結構決定了任何安全威脅都需要經過CPU進行運算，其數據都需要經過內存進行存儲，理論上基于CPU指令集這一層面實現的安全方案可以有效防御所有威脅，只要盯住內存，就能發現威脅的一舉一動。因此，安芯網盾以此為切入點，實現對內存的監控，這樣就可以了解到在其之上的系統層和應用層都發生了什么，繼而各類威脅也將一覽無余。

安芯神甲內存保護系統本質上就是內存防火墻，但國外的某些相關產品還是基于系統層或應用層對進程進行分析，并非真正的基于硬件防護，而安芯網盾的內存保護能夠真正下沉到CPU內存，從而實現對主機中最核心部位的安全防護。

在姚紀衛看來，以硬件層為切入點除了以上優勢外，還有其他很多好處，由于基于應用層的安全技術需要適配的東西很多，包括用戶的業務系統、操作系統、數據庫乃至各種硬件，在不同行業的解決方案中的各類代碼修改量要在30%以上，即便同行業不同客戶的方案代碼修改量也在15%以上，工作量巨大。但對于硬件虛擬化技術來說需要適配的就非常有限了，無非就是幾家廠商的CPU和十幾款主流的OS內核等，相比而言以上兩項數據是非常低的。

為什么在市場上很少見到這種技術，也很少有安全廠商涉及？姜向前介紹，相比其他安全技術來說，從硬件層入手是非常難的。基于CPU的硬件層面安全防護技術也是在近年來隨著“安可工程”開始被客戶接受，加之安芯網盾團隊成員擁有十多年反病毒技術積累，經過對海量惡意樣本的研究，對于數據在內存執行情況以及以此建立的內存保護模型可以說是輕車熟路。

基于硬件虛擬化來等前沿技術做內存保護需要兩個方面的技術積累，一是安全專家，二是系統專家，姚紀衛就是這樣一位既懂安全又精通系統架構的雙料專家。十幾年來他一直不曾中斷過對于未知病毒的啟發式檢測、病毒識別、虛擬機、內存安全檢測與防護等技術的專研，他以網名Linxer發布了幾款國際知名的安全軟件，積攢了他在安全圈的名氣。

一流的團隊打造一流的產品，在這樣的標準之下，安芯網盾在選拔技術人才方面的要求是非常嚴格的，只有擁有實打實的技術的人才能接納進團隊，正如Linux的創始人Linus的名言——Talk is cheap, show me the code，公司CTO姚紀衛在考察新人時極為嚴苛，在招聘環節就真槍實彈看其實際寫代碼的能力，只有技術能力過硬的人方能勝任。

圖1 安芯神甲智能內存保護系統

經得起實踐檢驗，內存防保護的落地應用

目前安芯網盾基于硬件虛擬化等前沿技術已打造出三類安全產品和解決方案，包括安芯神甲智能內存保護系統、系統信息檢測平臺和未知威脅文件檢測系統。其中安芯神甲（如圖1）基于實時的程序行為監控、內存操作監控等技術實現了進程級別的內存保護，確保用戶核心業務應用程序不會因病毒竊取、漏洞觸發而遭受攻擊。不同于常規安全產品只運行在應用層或者系統層，安芯神甲智能內存保護系統能夠在應用層、系統層、硬件層提供有機結合的立體防護。

網絡安全技術層出不窮，新技術和新產品只有經得起實踐的檢驗才能真正贏得客戶和市場，但面對這些在市場剛剛嶄露頭角的創新安全技術，某些對業務系統穩定性要求極高的行業例如金融等行業，是否愿意采用并承擔由此帶來的應用風險呢？

這個問題如果放在幾年以前或許是個難題，但今時不同往日，隨著網絡安全越來越受到重視，企業管理者已將網絡安全上升到企業戰略高度，同時相應的CSO或安全負責人也不再只是不懂網絡安全的管理者兼任，而是由專業安全人員專職，他們對網絡安全的理解和自身安全需求了如指掌，因此對安全新技術和新產品也往往保持開放心態，只要經得起實踐檢驗的新產品，他們愿意做出嘗試。

姜向前對此也頗有感觸，安芯網盾所接觸的企業客戶負責人大都精通安全技術，擁有很高的專業素養，在談到網絡安全創新技術時非常樂于嘗試，并按照自身的仿真環境來做測試和驗證。目前安芯神甲產品已在某些應用環境要求很高的客戶中得到了很好的應用。

安芯網盾最為成熟的案例還是在Google公司身上并得到檢驗，早在2009年姜向前和姚紀衛曾一起創立了百銳安全實驗室，研發的國內公開的第一款基于反病毒虛擬機技術的未知病毒檢測引擎就已為Google服務器中運行，該產品在VB100國際權威測評機構獲得了國際領先的成績，到如今已剛好十年，其穩定性和兼容性得到了很好的檢驗。不止如此，除了將這種安全能力賦予客戶外，安芯網盾還將其輸出給安全廠商，幫助他們來增強相應的安全產品功能。

隨著等保2.0的正式出臺，企業業務和IT系統將面對更大的合規壓力。對此，姜向前認為，企業的CTO和CSO在建立IT系統和安全體系時，不能僅局限于合規，而應當從自身業務的角度出發，在符合等保要求的基礎上打造適合業務發展的安全體系，確保核心數據資產的安全。

等保2.0一級至四級安全要求中規定了對惡意代碼的防范，其中第四級安全要求還規定“應采用主動免疫可信驗證機制及時識別入侵和病毒行為，并將其有效阻斷”。安芯網盾的產品可對惡意代碼檢測防御提供四級安全防護，從內存級別實現對惡意代碼的檢測和阻斷，為企業安全防護體系提供有效支撐。

如今在安全領域有很多初創企業，憑借創新技術在細分安全領域開創自己的一片天地。安芯網盾就是這樣一家技術驅動型的安全創新企業。公司的聯合創始人CEO姜向前和CTO姚紀衛都是在安全圈有著十多年經驗的老人，正是這種在安全領域的常年積累和打拼，在經過無數次的頭腦風暴和不斷的磨合，才造就了這種全新的基于硬件虛擬化等前沿技術的智能內存保護技術。盡管公司才剛剛起步，但正如姜向前的期許，“安芯神甲智能內存保護系統會安靜地防御各種攻擊，希望這種新技術能為網絡安全市場帶來新的活力，通過技術創新為社會創造價值。”