一文揭祕內存安全

微軟安全工程師馬特·米勒在2019年以色列安全大會上表示，微軟旗下的產品在過去12年修復的全部漏洞中，有七成是內存安全問題。

過去的一年，內存安全問題日益嚴峻，內存保護技術也開始被重視，內存安全問題是各種系統和應用所面臨的最大攻擊來源，每每0day漏洞和無文件攻擊成爲現階段黑客經常使用的攻擊手段，這也成爲企業在安全能力建設中的痛點。

1、 內存安全的概念

內存安全的核心原理是從計算機的體系結構出發，任何須要CPU執行的代碼、處理的數據都須要通過內存進行存儲。經過監控CPU指令能夠監控內存代碼和數據狀態。經過內存虛擬化等技術來監控內存的讀、寫、執行行爲能夠有效防護各類威脅。

內存安全由內存監控、程序行爲監控、智能分析、系統安全加強和安全響應等構成，可阻止異常內存訪問和惡意代碼執行等攻擊行爲，爲計算機系統構建一個完整的內存安全環境。

2、 內存安全主要功能

一、漏洞檢測與防護

經過細粒度的監控內存讀、寫、執行行爲，可實時檢測內存中存在堆棧代碼執行、內存數據覆蓋等異常行爲，結合攔截模塊高效防護漏洞攻擊。

二、內存數據防竊取

經過硬件虛擬化技術對內存中關鍵業務進行打點，並經過對業務的關聯分析，監控應用對業務相關內存數據的多讀、掛鉤、篡改等行爲，保護業務核心數據資產不被竊取。

三、威脅行爲分析

基於CPU指令集的監控，監控內存代碼、數據狀態，實時感知內存數據流動狀態和程序的具體行爲動做，配合AI技術實時對病毒進行識別，能防護已知病毒和未知病毒。

3、 內存安全產品價值

一、防禦未知威脅攻擊

網絡攻擊手段呈現複雜化、智能化、組織化等特色，傳統老三樣（防火牆、入侵檢測、防病毒）僅僅是增長了攻擊者的攻擊成本，基於規則匹配模式的防禦方案，在面對新型攻擊幾乎沒有任何防護能力。

內存安全產品不依賴於傳統的特徵庫匹配模式，安芯網盾內存安全產品智能內存保護系統基於硬件虛擬化技術對內存數據進行監控，並對內存數據進行分析，實現內存級別的應用程序監控。經過監控程序內存行爲及執行路徑，有效防禦新型攻擊。

二、保護業務連續性

傳統的安全方案側重於網絡保護和受權，沒法防護基於內存的攻擊，而基於內存的攻擊發生在應用程序內部。

內存保護技術經過映射程序的合法執行路徑，實時檢測並阻止攻擊。確保核心業務應用程序只按照預期的方式運行，不會因病毒竊取、漏洞觸發而遭受攻擊，切實有效保護業務連續性。

三、解決白名單安全沒法阻止的威脅

安全邊界正在消失，端點安全成爲趨勢，可是大多數端點安全解決方案專一於用戶設備、系統合規性和系統安全性，而且會產生大量誤報。

程序白名單技術的使用愈來愈多，但依然沒法防護白利用和無文件攻擊，內存安全能夠有效防禦這類威脅。

四、立體、準確防禦

傳統的安全產品只運行在應用層或者系統層，內存安全產品可以在應用層、系統層、硬件層提供有機結合的立體防禦。

傳統的安全產品會產生大量報警卻難以響應，內存安全產品能夠準確防護各類攻擊，並在威脅形成損害以前阻止它們。

4、 內存安全應用場景

儘管企業和機構都部署了大量的安全防禦產品，但攻擊者仍然可以垂手可得的突破層層防線，複雜的網絡攻擊在不斷增長。內存安全產品基於實時的程序行爲監控、內存操做監控等技術實如今應用程序級別保護內存，確保用戶核心業務應用程序只按照預期的方式運行，不會因病毒竊取、漏洞觸發而遭受攻擊，切實有效地保護客戶核心業務不被阻斷，核心數據資產不被竊取。

內存安全相關產品在國外的應用已經初具規模，2016年Gartner將內存保護技術列爲面向將來的十大信息安全技術之一，2018年CRN將內存安全產品列爲20個熱門安全產品中的頂級產品。安芯網盾做爲國內內存安全領域的明星公司，其內存安全產品安芯神甲智能內存保護系統支持多種部署模式，普遍應用於政府、金融、醫療、軍工、能源等重要領域。

2020年1月，由國內網絡安全專業諮詢機構數世諮詢發佈的《中國網絡安全能力圖譜》中，內存安全做爲端點安全中一項新的主流及具有鮮明特色的分類被關注。