如今网络打击正在给企业带来严重威胁，思科2019年首席信息安适官（CISO）基准研究呈报显示，在亚太地区网络打击导致的损掉呈上升趋势，有16%的公司在过去一年因最严重的打击行为所导致的财务损掉赶过500万美元。

面对新技术的成长带来攻守之势的变革，网络安适需要创新技术方能应对。事实上，网络安适范围也从不缺乏创新的基因，出格是近年来屡见不鲜的安适新技术给网络安适范围带来新的活力。安芯网盾（北京）科技有限公司（以下简称“安芯网盾”）就是一家极具创新力的草创安适公司，是国内第一家基于硬件虚拟化等前沿技术掩护企业主机安适的技术处事商。《网络安适和信息化》杂志记者专访了安芯网盾CEO姜向前和CTO姚纪卫两位安适大咖，聊一聊关于安芯网盾奇特的内存掩护技术是如何防护企业主机安适的。

冲破安适界限，回归安适素质，防护主机安适

安芯网盾CEO 姜向前

安芯网盾CTO 姚纪卫
 

在谈到主机安适防护方面，安芯网盾CEO姜向前暗示，“面对传统网络安适界限防护逐渐掉效的现状，我们该当改变不雅观念，网络安适该当回归到安适的素质上来，企业的核心数据资产在主机上，因此确保企业业务安适就要保障主机的安适。”

目前专注于主机安适防护的安适公司不在少数，且凭借各自的安适理念和擅长的安适技术深耕于主机安适范围。有凭借EDR（端点检测与响应）技术应用于主机入侵防御系统，实现主机高级威胁检测，也有基于新兴的自适应安适理念实现对主机的资产清点与发明等等，可谓八仙过海各显神通。

“这些技术工力悉敌”，姜向前在分析当前主机安适防护技术时暗示，“但安芯网盾差别之处在于深入底层硬件来做防护，以智能内存掩护技术为切入点来掩护企业主机安适。”

以内存掩护为切入点，治标也要治本

基于硬件虚拟化技术来对内存进行防护，听起来令人眼前一亮，也有些让人一知半解，似乎在业界并未风闻过这样一种安适技术。简直，这项技术在国内尚属初创，甚至在国外也少有类似的技术与之对标。

安芯网盾CTO姚纪卫解释说，目前大多主机安适防护还是围绕应用层或系统层，这可以防御大都常见的威胁，但近年来呈现很多的高级打击深入硬件底层，诸如Spectre和Meltdown缝隙等。大部分安适工具在面对新型威胁和内部威胁时错误谬误袒露无遗：由于恶意措施不再有心跳信息导致安适产品发明能力弱；有报警而无所作为……这些安适产品事情在应用层或系统层而无法触及到硬件层，是很难在第一时间发明并阻断这些威胁，因此难以从根柢长进行防止。

而此刻常见的反病毒技术无非是针对发明的病毒样本成立病毒库，一旦呈现新病毒或变种就不停插手到病毒库中，但这种方法一来具有滞后性和被动性，二来病毒库将越来越复杂，难以维护，治标不治本。

并且由于系统的某些限制，传统事情在应用层或系统层的安适技术无法全面监控系统行为，很多安适成果在系统驱动层是实现不了的，因此要想拦截此类威胁，就必需将安适机制下沉到硬件底层。

安芯网盾技术团队分析认为，岂论威胁代码如何变革，计算机体系布局决定了任何安适威胁都需要颠末CPU进行运算，其数据都需要颠末内存进行存储，理论上基于CPU指令集这一层面实现的安适方案可以有效防御所有威胁，只要盯住内存，就能发明威胁的一举一动。因此，安芯网盾以此为切入点，实现对内存的监控，这样就可以了解到在其之上的系统层和应用层都产生了什么，继而种种威胁也将一览无余。

安芯神甲内存掩护系统素质上就是内存防火墙，但国外的某些相关产品还是基于系统层或应用层对进程进行分析，并非真正的基于硬件防护，而安芯网盾的内存掩护能够真正下沉到CPU内存，从而实现对主机中最核心部位的安适防护。

在姚纪卫看来，以硬件层为切入点除了以上讲的优势外，还有其他很多好处，由于基于应用层的安适技术需要适配的对象很多，包孕用户的业务系统、操纵系统、数据库乃至各类硬件，在差别行业的解决方案中的种种代码改削量要在30%以上，即便同行业差别客户的方案代码改削量也在15%以上，事情量巨大。但对付硬件虚拟化技术来说需要适配的就非常有限了，无非就是几家厂商的CPU和十几款主流的OS内核等，对比而言以上两项数据长短常低的。
为什么在市场上很少见到这种技术，也很少有安适厂商涉及？姜向前介绍，对比其他安适技术来说，从硬件层入手长短常难的。基于CPU的硬件层面安适防护技术也是在近年来跟着“安可工程”开始被客户接受，加之安芯网盾团队成员拥有十多年反病毒技术的堆集，颠末对海量恶意样本的研究，对付数据在内存执行情况以及以此成立的内存掩护模型可以说是轻车熟路。

基于硬件虚拟化来等前沿技术做内存掩护需要两个方面的技术堆集，一是安适专家，二是系统专家，姚纪卫就是这样一位既懂安适又精通系统架构的双料专家。十几年来他一直未曾中断过对付未知病毒的启发式检测、病毒识别、虚拟机、内存安适检测与防护等技术的专研，他以网名Linxer颁布了几款国际知名的安适软件，积攒了他在安适圈的名气。

一流的团队打造一流的产品，在这样的标准之下，安芯网盾在选拔技术人才方面的要求长短常严格的，只有拥有实打实的技术的人才华采取进团队，正如Linux的首创人Linus的名言——Talk is cheap, show me the code，公司CTO姚纪卫在考察新人时极为严苛，在招聘环节就真枪实弹看其实际写代码的能力，只有技术能力过硬的人方能胜任。

经得起实践查验，内存防掩护的落地应用

目前安芯网盾基于硬件虚拟化等前沿技术已打造出三类安适产品和解决方案，包孕安芯神甲智能内存掩护系统、系统信息检测平台和未知威胁文件检测系统。此中安芯神甲基于实时的措施行为监控、内存操纵监控等技术实现了进程级另外内存掩护，确保用户核心业务应用措施只凭据预期的方法运行，不会因病毒窃取、缝隙触发而遭受打击。差别于通例安适产品只运行在应用层或者系统层，安芯神甲智能内存掩护系统能够在应用层、系统层、硬件层供给有机结合的立体防护。