做难而有价值的事 | 安芯网盾姜向前·大咖访谈
姜向前
安芯网盾CEO
清华EMBA在读,本科毕业于哈尔滨工程大学计算机科学与技术专业,国内知名网络安全专家,前百度首席移动安全专家,被评为2020年度创业新星、云计算行业新锐人物。
创业为什么选择内存保护这个方向?
姜向前:我们为什么要做内存保护?在创立安芯网盾之前,我们已经看到国际上针对大型企业的高级网络威胁常常采用内存攻击的手段绕过边界防护。数据显示,70%以上的攻击是基于内存的攻击。这个结论也有第三方的一些数据的验证,比如说微软的安全专家马特·米勒(Matt Miller)提到微软过去12年修复的所有高级漏洞中超过七成都是内存问题;谷歌统计了从2015年到现在的所有的高级安全错误,发现超过70%的漏洞是基于内存的。
我们看到攻击者演进的路线已经走向内存攻击,但是这个行业里并没有专门的、有效的对内存攻击做防护的产品,所以我们推出了内存保护。最开始做内存保护产品的时候,我们花了很多的时间去研究和分析,客户的需求是什么?怎样去解决问题?什么样的产品或者服务是一种最优解?可以说我们有1000个idea,但是被否掉了999个,最后我们决定回到问题的起点,答案就很清晰了。
互联网的发展离不开计算设备,所有的计算设备都是基于冯·诺依曼体系结构的,包括我们用的手机、PC、服务器都是。冯·诺依曼体系结构有五大模块,包括控制器、运算器、内存、输入设备和输出设备。前两个模块就是CPU,输入和输出是外设,那最核心的就是两个:CPU和内存。所有的程序都会经过CPU进行运算,所有的数据都会经过内存进行读取。网络攻击和客户的业务系统实际上都是一种程序,都需要在CPU中进行执行,都需要在内存中进行读取,我们基于CPU、内存指令集这一层面去做防护,理论上是可以解决所有的问题的。
这里解释下内存安全。内存安全由内存访问行为监控、程序行为监控、智能行为分析引擎、系统安全增强和安全响应模块等构成,可阻止异常内存访问和恶意代码执行等攻击行为,为计算机系统构建一个完整的内存安全环境。内存保护并不是为了代替某项现有的技术,而是要弥补当前技术手段防护能力的不足,内存保护要解决的核心问题主要涉及两个层面。一个层面是对内存破坏型漏洞的防御,越来越多的安全漏洞和内存相关,做好内存保护,能够有效减少这类漏洞触发的几率。另一个层面是针对基于内存的攻击进行防护,包含防护大家熟知的内存代码片段执行、无文件、内存Webshell、缓冲区溢出等攻击。
内存保护解决的客户痛点是什么?
姜向前:安芯网盾的内存保护方案目前主要服务于客户的数据中心,为服务器提供保护。企业的核心业务和核心数据资产通常保存在服务器上,如果服务器受到攻击,将直接导致业务中断,安芯网盾的内存保护方案保护了客户的业务安全以及数据安全。
在大型的红蓝对抗演练中,我们发现内存是很重要的一个攻击武器投递对象,像0day漏洞攻击、无文件攻击、内存马攻击等等是广泛使用的攻击方式,内存保护产品是非常有效的能够应对这种新挑战的产品,我们希望解决让企业CSO睡好觉的问题。
目前什么样的客户来使用我们呢?第一,客户核心业务具有非常高的价值;第二,客户拥有非常高价值的数据。对于他们的CTO、CIO或者CSO来说,我们为他解决的问题就是保护他的核心业务不被中断,核心数据资产不会窃取。所以我们现在服务的客户都是一些有大规模服务器和数据中心,比如说我们服务的某部委,它的数据和我们每一个人的生活息息相关,我们帮助他们保护这样高价值的核心数据资产不被窃取。
我们看到整个ICT市场的产业链,有最上层的应用,有系统,有硬件……我们发现越靠底层的技术,应用场景就越宽,像CPU和内存,就是极少的几家芯片厂商几乎覆盖了我们现在的各行各业。无论是交通、能源、教育、医疗等行业的服务器底层的架构都是一样的,95%以上是X86指令加Linux系统或Windows系统。我们从底层技术出发做内存保护,有一个梦想是能够支持所有的行业。
内存保护不局限于保护内存,它是基于CPU、内存层面对计算机体系结构进行保护的一种技术,对上层业务、操 作系统都可以进行保护。
与同类型产品或者方案相比,安芯网盾的差异化优势体现在哪里?
姜向前:网络安全高级威胁防护的两座大山:一是漏洞,二是内存攻击。我们在实验室分析大量攻击事件,研究攻击行为,发现攻击者将他们的代码植入到内存当中,绕过传统解决方案。在推出安芯神甲智能内存保护系统之前,业内几乎没有好的内存保护解决方案,不能检测未知漏洞,也无法防御内核级攻击。
内存保护系统能很好地解决这两大难题,基于内存保护的防护方案,有几大优势:
1、具备实时检测及响应能力
不同于事后检测安全产品,内存保护系统对系统运行的程序进行实时监控,结合行为关联分析技术,一旦发现威胁时可实时响应,实现真正的运行时安全。
2、具备未知漏洞检测能力
通过内存虚拟化技术,监控内存恶意访问行为,实时感知内存数据流动和代码执行情况,实现对未知漏洞的检测能力。
3、具备高检出低误报特点
基于系统底层技术,突破系统的一些限制,可细粒度监控程序的各种行为,结合高质量的知识库体系建设,可准确识别威胁。
4、无文件攻击防护效果更佳
在脚本解释器内部监视脚本行为动作,不惧各类脚本层面的绕过技术,还可有效避开脚本解释器自身行为“噪音”干扰,检测更精准。
内存保护产品本身是具有生命力的,它不是基于补丁式的安全产品设计理念,这款产品在定义的时候,就充分考虑到面向未来十年的网络安全和业务发展趋势。
总结来看,基于内存保护的解决方案更优雅,它体现在两个层面。
第一,我们会在技术上会深入到下层,从应用层、系统层贯穿到硬件层。我们攻克技术难点,深入下层,可以支持不同行业,更复杂的场景。
第二,面向未来,不仅解决当下问题。发现一个漏洞之后,再推出针对性的检测防御,这种方式不能有效应对未来的复杂挑战。只有面向未来打造的产品,才能化被动为主动。
什么是难而有价值的事?
姜向前:产品技术驱动型公司要勇于做难而有价值的事。比如,客户需要一辆8匹马拉的马车,如果我们直接满足客户需求,很容易,但这只是过渡性产品,我们要从表象看到实质,实际上客户需要的是更强的运力,我们应该给客户创造一辆火车。有些事做起来比较简单,但不能长期产生价值。我们不做过渡性产品,要做革命性产品,能够长期产生价值的产品。
创业的初衷就是坚守初心,向着长远的方向去打造有生命力的、有价值的产品。一项好的技术或者产品一定是面向未来的,创业初期的企业必须要耐得住寂寞,它要抢在“风口”的前面,所以在初期这项技术所对应的客户需求不一定很大,但一定很痛,只有这项技术可以解决,并且在服务客户的过程中,还需要不断提升自己的商业和技术的壁垒。
最近完成超亿元人民币A轮融资,接下来有什么新的规划与布局?
姜向前:从2019年成立之初,安全行业和甲方企业鲜少有人提及内存保护,到2021年越来越多的企业主动找到安芯网盾要使用内存保护,两年多时间安芯网盾的内存保护产品及解决方案经过不断完善和迭代更新,已在政府、大型企事业单位得到广泛应用。
安芯网盾作为国内新兴网络安全公司中的高成长型明星企业,是内存安全领域的开拓者和领军企业。安芯网盾一直坚持“打造10个60分的功能不如3个100分的功能”的态度,在内存安全领域坚持精细化打磨产品和服务。
本轮融资资金将持续用于团队扩张、产品创新和研发、业务范围拓展等,进一步提升规模化产品服务交付能力,加速覆盖金融、互联网、电信运营商、能源、制造业等行业更多客户。
公司简介
-END-
往期回顾