不联网,不做云查杀,不升级病毒库,一样可以解决安全问题;不依赖于特定操作系统,不打补丁,也能有效抵御网络攻击……
“这样一个产品,奇安信在两年前就开始进行研发,经过半年多的实战化攻防对抗验证,展现出了颠覆性的优势。”
奇安信集团总裁吴云坤口中的这个革命性创新安全产品是什么?它就是奇安信刚刚发布第三代安全引擎"天狗"。
为什么称之为第三代安全引擎?纵观整个网络安全攻防史,第一代网络安全技术以查黑为核心,策略是黑名单机制,即非黑即白;第二代网络安全技术是查白,策略是白名单机制,即非白即黑。
前两代安全引擎伴随网络攻防技术的演进而演进,然而随着如今网络安全开始形成国家间网络战争,攻击手段更加多元,技术也更加高明,无论是第一代查黑还是第二代查白,它们的弊端已经显现。就像2010年的震网病毒,0Day漏洞的利用、可信公司的签名、无文件内存加载技术的运用,均让它顺利逃过第二代安全技术的防护。
如今,类似于震网病毒的攻击手段越来越普遍,总结起来它们有三大特征,即:1、利用漏洞攻击;2、可信程序作恶或被利用作恶;3、新型攻击对抗。
而第三代安全引擎"天狗"设计之初就是针对这三大关键问题而生,它有三大革命性创新之处,也可以称之为三大黑科技。
“天狗”三大黑科技
一、“天狗”引擎是换代的技术创新。为什么称为换代?因为它脱离了传统上对具体漏洞特征、文件特征、行为特征的依赖,而是基于内存指令层的漏洞攻击检测技术,即使在断网情况下,也不影响安全防护的效果。显然,这一特点特别适合于政企客户需求,尤其对于工控领域来说,可以在安全升级中保证业务的持续运转。此外,它还融合了机器学习等AI技术,利用AI技术进行智能化的批量权限设置与管控,解决了海量应用权限收集与预设的难题。
二、“天狗”引擎的技术创新是底层技术的创新。“天狗”引擎基于的原理并不依赖于特定操作系统,而是采用指令级别的监测,这种方法同样适用于其他操作系统,而目前市面上的加固工具都是依赖操作系统本身的能力,哪怕是Win10的安全机制,也是存在很高的漏洞攻击风险,何况在Win7上创可贴式的加固,都没有脱离操作系统的本身的安全能力。
三、“天狗”引擎的机制可以有效防后门。后门检测技术体现了“天狗”引擎创新的核心,因为纵观国内外,还没有一家公司提出针对后门检测的一套完整可行的技术方案,而普遍是针对于漏洞和恶意程序的防护技术。
为什么奇安信“天狗”引擎可以针对各类软硬件供应商自身存在的后门问题做到有效发现和防御?奇安信集团副总裁徐贵斌用四个关键词和两个“问题”给出了答案。
四个关键词分别为:指令执行、大数据、分布式计算和人工智能。总结起来说,它们就是“天狗”引擎后门检测运用的关键技术,这四大技术的运用原理又蕴含在了两个问题中。
第一个问题,一个产品的功能会为多少用户的使用而设计?第二个问题,一个产品中隐藏的后门会有多少人真正使用?显然,每一个产品的正常功能都有一个相对庞大的用户群体,这也意味着某个功能才有可能出现。而一个后门通常掌握在极少数人手里,并会在关键时刻用,不会每天使用。
观察这两个问题其实也就有了答案,“天狗”引擎会用分布式计算搜集每一个用户的使用场景,再用AI机器学习的算法,去检查每一个功能的指令标记区,并进一步结合规律、频率、数量、分布等数据使用,从而挖出后门的藏身之处。当然,这只是一个简单的比喻,“天狗”的后门检测有复杂的技术蕴含其中。
“天狗”为层层防护再叠加一层防御
奇安信"天狗"第三代安全引擎技术针对漏洞攻击和可信程序利用设计,当然,它对于无论是终端安全的病毒检测还是边界防护的流量特征检测并不是取代关系,“它们之间没有高低贵下之分,只是每个引擎都在解决自己擅长解决的问题。”徐贵斌说。
纵深的安全防御体系,每一个攻击都不是单点突破的,要完成一个完整的攻击要层层突破很多防护。安全防御一定不是只有一层防护,而是搭建层层防护,安全一定是一个体系化的防护。
"天狗"引擎在层层防护之上又架了一层防护罩,也就是对可信程序再进行一次检测、控制与管控。对于“天狗”来说,并没有可信的概念,所有的内容都是不可信的,因为它不进行身份检测,也不进行行为检测,而是进行指令检测。它不关心这个指令发生在系统服务里还是发生在第三方程序里,它只关心这个指令的调用是不是异常的。
所以,“天狗”引擎在面对0Day漏洞、可信程序被恶意利用,以及后门的检测方面,都有显著的防护效果。
据介绍,目前奇安信已经将“天狗”引擎应用在Windows 7和Windows Server 2008操作系统的防护,确保上述两系统在没有漏洞补丁的情况,仍能抵御各种攻击。
可以说,奇安信“天狗”实现了安全引擎技术史上的一次重大突破,无论是颠覆“查漏洞打补丁”思维,还是首次对软硬件程序后门说不,它在技术上实现了引领。当然,落地在政企行业场景中效果到底怎么样?我们期待见证它在未来网络安全防护中的威力显现。