一文揭秘内存安全

微软安全工程师马特·米勒在2019年以色列安全大会上表示，微软旗下的产品在过去12年修复的全部漏洞中，有七成是内存安全问题。

过去的一年，内存安全问题日益严峻，内存保护技术也开始被重视，内存安全问题是各种系统和应用所面临的最大攻击来源，每每0day漏洞和无文件攻击成为现阶段黑客经常使用的攻击手段，这也成为企业在安全能力建设中的痛点。

1、 内存安全的概念

内存安全的核心原理是从计算机的体系结构出发，任何须要CPU执行的代码、处理的数据都须要通过内存进行存储。经过监控CPU指令能够监控内存代码和数据状态。经过内存虚拟化等技术来监控内存的读、写、执行行为能够有效防护各类威胁。

内存安全由内存监控、程序行为监控、智能分析、系统安全加强和安全响应等构成，可阻止异常内存访问和恶意代码执行等攻击行为，为计算机系统构建一个完整的内存安全环境。

2、 内存安全主要功能

一、漏洞检测与防护

经过细粒度的监控内存读、写、执行行为，可实时检测内存中存在堆栈代码执行、内存数据覆盖等异常行为，结合拦截模块高效防护漏洞攻击。

二、内存数据防窃取

经过硬件虚拟化技术对内存中关键业务进行打点，并经过对业务的关联分析，监控应用对业务相关内存数据的多读、挂钩、篡改等行为，保护业务核心数据资产不被窃取。

三、威胁行为分析

基于CPU指令集的监控，监控内存代码、数据状态，实时感知内存数据流动状态和程序的具体行为动做，配合AI技术实时对病毒进行识别，能防护已知病毒和未知病毒。

3、 内存安全产品价值

一、防御未知威胁攻击

网络攻击手段呈现复杂化、智能化、组织化等特色，传统老三样（防火墙、入侵检测、防病毒）仅仅是增长了攻击者的攻击成本，基于规则匹配模式的防御方案，在面对新型攻击几乎没有任何防护能力。

内存安全产品不依赖于传统的特征库匹配模式，安芯网盾内存安全产品智能内存保护系统基于硬件虚拟化技术对内存数据进行监控，并对内存数据进行分析，实现内存级别的应用程序监控。经过监控程序内存行为及执行路径，有效防御新型攻击。

二、保护业务连续性

传统的安全方案侧重于网络保护和受权，没法防护基于内存的攻击，而基于内存的攻击发生在应用程序内部。

内存保护技术经过映射程序的合法执行路径，实时检测并阻止攻击。确保核心业务应用程序只按照预期的方式运行，不会因病毒窃取、漏洞触发而遭受攻击，切实有效保护业务连续性。

三、解决白名单安全没法阻止的威胁

安全边界正在消失，端点安全成为趋势，可是大多数端点安全解决方案专一于用户设备、系统合规性和系统安全性，而且会产生大量误报。

程序白名单技术的使用愈来愈多，但依然没法防护白利用和无文件攻击，内存安全能够有效防御这类威胁。

四、立体、准确防御

传统的安全产品只运行在应用层或者系统层，内存安全产品可以在应用层、系统层、硬件层提供有机结合的立体防御。

传统的安全产品会产生大量报警却难以响应，内存安全产品能够准确防护各类攻击，并在威胁形成损害以前阻止它们。

4、 内存安全应用场景

尽管企业和机构都部署了大量的安全防御产品，但攻击者仍然可以垂手可得的突破层层防线，复杂的网络攻击在不断增长。内存安全产品基于实时的程序行为监控、内存操做监控等技术实如今应用程序级别保护内存，确保用户核心业务应用程序只按照预期的方式运行，不会因病毒窃取、漏洞触发而遭受攻击，切实有效地保护客户核心业务不被阻断，核心数据资产不被窃取。

内存安全相关产品在国外的应用已经初具规模，2016年Gartner将内存保护技术列为面向将来的十大信息安全技术之一，2018年CRN将内存安全产品列为20个热门安全产品中的顶级产品。安芯网盾做为国内内存安全领域的明星公司，其内存安全产品安芯神甲智能内存保护系统支持多种部署模式，普遍应用于政府、金融、医疗、军工、能源等重要领域。

2020年1月，由国内网络安全专业咨询机构数世咨询发布的《中国网络安全能力图谱》中，内存安全做为端点安全中一项新的主流及具有鲜明特色的分类被关注。