高端访谈|姜向前：内存安全能让CSO放心：高端访谈|姜向前：内存安全

原标题：高端访谈|姜向前：内存安全能让CSO放心

文章图片
上周，数说安全创始人于江（仙儿）和安芯网盾CEO姜向前进行了一次“网友会面” ，让我们一起跟随于江深度了解姜向前和安芯网盾对于“内存安全”的战略选择以及对未来市场的判断。
专注内存安全？为什么？
“看到纵深防御的靶心了吗？那就是内存。 ”
“所有的程序都会经过CPU进行运算，
所有的数据都会经过内存进行读取。 ”
于江：姜总好，可以介绍一下过去这一年多时间里公司的发展情况？
姜向前：安芯网盾是19年5月成立的，当时我们就确定主打内存保护产品和市场。我们通过这一年半的时间快速成长，从内存安全的开拓者成为为该领域的领军者，我们开发了国内首创的内存保护产品，为客户提供了有价值的产品和服务。同时，我们还拿到了BCS2020安全创客汇冠军等荣誉，一系列的成绩验证了我们过去一年多来的发展速度。
于江：大家对于内存安全这个概念的理解可能还不是特别清晰，到底什么是内存安全？客户为什么要做内存安全？姜总可以用一种相对比较通俗的方式解释一下。
姜向前：网络安全已经发展成为包含多种安全产品和关键技术组成的纵深防御体系，我们常说的纵深防御体系就像箭靶，安全产品就像箭靶上一层一层的同心圆，那么内存保护就是这个同心圆的靶心。这是因为我们看到，越靠边界的产品越难做到动态化和智能化。就比如马奇诺防线，德军选择从比利时绕过防线，所以我们从这就可以看到在边界上的防御很难通过动态的变化去实时应对新的挑战。
【高端访谈|姜向前：内存安全能让CSO放心】我们为什么要做内存保护？在创立安芯网盾之前，我们已经看到国际上针对大型企业的高级网络威胁常常采用内存攻击的手段绕过边界防护。数据显示， 70%以上的攻击是基于内存的攻击。这个结论也有第三方的一些数据的验证，比如说微软的安全专家马特·米勒(MattMiller)提到微软过去12年修复的所有高级漏洞中超过七成都是内存问题；谷歌统计了从2015年到现在的所有的高级安全错误，发现超过70%的漏洞是基于内存的。
我们看到攻击者演进的路线已经走向内存攻击，但是这个行业里并没有专门的、有效的对内存攻击做防护的产品，所以我们推出了内存保护。最开始做内存保护产品的时候，我们花了很多的时间去研究和分析，客户的需求是什么？怎样去解决问题？什么样的产品或者服务是一种最优解？可以说我们有1000个idea ，但是被否掉了999个，最后我们决定回到问题的起点，答案就很清晰了。
互联网的发展离不开计算设备，所有的计算设备都是基于冯·诺依曼体系结构的，包括我们用的手机、PC、服务器都是。冯·诺依曼体系结构有五大模块，包括控制器、运算器、内存、输入设备和输出设备。前两个模块就是CPU ，输入和输出是外设，那最核心的就是两个：CPU和内存。所有的程序都会经过CPU进行运算，所有的数据都会经过内存进行读取。网络攻击和客户的业务系统实际上都是一种程序，都需要在CPU中进行执行，都需要在内存中进行读取，我们基于CPU、内存指令集这一层面去做防护，理论上是可以解决所有的问题的。
我们选择做内存这个靶心，这个选择是艰难的，最具挑战的，但是我们认为它是最有价值的。
内存保护和EDR、CWPP有什么区别？
“第一时间进行发现和检测”
“能和高级别的网络威胁做对抗”
“探针够深，识别准确，实时性强”
于江：姜总，如果将内存保护系统跟EDR、CWPP、主机加固这类产品进行一个对比，会有什么区别或者是相对的优势？
姜向前：首先我认为整个安全行业，每一款产品都有它的价值和独特的应用场景。内存保护产品是针对新型的、未知的高级网络威胁等去做防御。刚才说过所有的攻击都会经过CPU和内存进行运算，所以我们在CPU和内存指令集这个层面去做防御是实时的运行时保护，可以在第一时间进行发现和检测。第二，我们能够和最高级别的威胁进行对抗。做产品的对比的话， EDR、CWPP类型的产品，也许运行在应用层，也许运行在系统层，但内存保护是运行在系统层、应用层和硬件虚拟化层，刚刚提到过，超过70%的高级攻击手段是基于内存运行的，这种攻击是只运行在系统层、应用层的产品无法发现的。这就好比在军事战争中，你用几十年前的雷达去检测最新型的隐形战斗机一样是没有效果的。我们看到很多传统的安全产品，虽然它也有检测、分析、响应等功能，但如果检测它都检测不到就无法进行分析和实时响应、拦截。