BCS 2021如何通过内存保护抑制安全防御体系熵增？

今日，2021年北京网络安全大会（BCS2021）正式拉开了帷幕。本次活动以“经营安全，安全经营”为主题，内容涉及政策形势、产业发展、前沿技术等多个方向，重点关注、探讨数字经济新环境下的网络安全发展之路。

图片

图1 安芯网盾CEO姜向前在“第五届网络安全产业担当与发展高峰论坛”中，安芯网盾CEO姜向前就《内存保护抑制安全防御体系熵增》做了精彩分享，与业界智囊、产业先锋一起探索产业模式，促进在信息技术应用创新领域的持续牵引，共谋发展。

安全的4大趋势

随着新技术的不断涌现，云业务应用的不断扩张，IT业务系统的复杂度越来越多样化。安芯网盾CEO姜向前表示，对于企业来讲，当服务器的数量不断增长、业务越复杂时，则会面临越来越多的安全挑战。同时，根据形式变化、趋势政策、业务驱动等不同因素，可以发现安全存在如下4点：

• 业务复杂度爆炸式增长带来的“安全新挑战”
• 数字化转型带来的“安全新需求”
• 攻击者跃迁式升级带来的“安全新威胁”
• 国际形势的变化带来的“安全新市场”

高级威胁的“熵增”

1854年，一位叫克劳修斯的德国人提出了熵增定律，自此该定律正式兴起。熵增定律是指在一个孤立的系统里，如果没有外力做功，其总混乱度（即熵）会不断增大。因为如果没有外力做功的情况下，熵增的过程是不可逆的，最终会达到熵最大的状态，系统会陷入混乱无序的状态。在信息安全中，熵增定律同样适用。

众所周知，传统安全防护手段、工具的不断完善，使得攻击者研发设计了更多新型的高级威胁，以躲避传统防护工具的防护，从而达到攻击目的。未知威胁、全新攻击手段的组合拳，使得网络安全变得更加复杂。以内存/无文件攻击、漏洞利用为代表的高级威胁，使得IT管理中面临的熵在不断增加。

造成熵增的原因包括：

1、漏洞爆发：系统不断出现的漏洞存在巨大隐患。

2、漏洞利用：漏洞利用攻击成为攻防致胜关键点。

图2 需要外力做功来抑制熵增

当外力（解决方案）没有对熵（高级威胁）做功的时候，熵值是不断增大的，从而使得整个系统越来越混乱、无序。诸如漏洞利用、网络入侵、木马后门、数据泄露等诸多安全威胁都会增大熵增。需要外力做功来抑制熵增，才能消除熵的增长。像身份认证、权限管理、病毒检测、访问控制等都可以做功，减少熵；内存安全无疑是实现熵减的最有利的外功。

内存保护实现“熵减”

计算机体系结构决定了任何安全威胁都需要经过CPU进行运算，其数据都需要经过内存进行存储。理论上基于CPU指令集这一层面实现的安全方案可以有效防御所有威胁。内存保护技术可以在硬件层透视各层数据，基于硬件层的安全技术实现全面防护。

安芯网盾采用内存保护技术，基于P2DR模型设计的智能内存保护系统，以策略为核心建立了四大高级威胁防御能力：

图3 高级威胁防护

漏洞的检测与防护：通过细粒度的监控内存访问行为，结合分析模块，可实时检测内存破坏型漏洞和逻辑型漏洞，并进行响应。

无文件攻击检测与防护：通过深入powershell、wmi、vba、vbs、js等脚本解释器内部，有效避开混淆加密干扰，详细监控被执行脚本的行为，精准识别攻击并进行拦截。同时，还能对内存代码片段、隐藏模块代码的执行行为进行识别并告警。

内存webshell防护：通过监控Java、PHP等解释器的动作，捕获脚本执行过程中的一些敏感动作，基于这些敏感动作判断是否为恶意威胁。

高级威胁溯源：内存保护系统在内存访问行为及系统行为监控层面具有天然优势，它能有效突破操作系统的限制，采集更全面的信息，基于这些信息形成强大的溯源分析能力。

图4 操作系统互认

而且，安芯网盾的智能内存保护系统可以与国产操作系统 & CPU架构互认，规避了兼容性等问题的发生，可以更好的将安全防护能力应用于众多的企事业单位中。通过内存保护的外功，作用于高级威胁带来的熵，起到了很好的熵减作用，让企业的防护能力更强。

未来，安芯网盾将基于内存保护技术，修炼安全能力的“功”，持续对于威胁的熵发起，从而更好的抑制安全防御体系熵增。