关于Virsec的应用内存防火墙：AMFW的事项

无文件攻击越来越盛行，且该攻击方式比传统基于文件的恶意软件更容易成功。大多数防御措施通过识别网络上的恶意行为来检测无文件攻击，但这基本上只是一种事后补救方法。

应用安全厂商Virsec采取的方法与众不同，检测的是尚在内存中的恶意行为，能够防患于未然。

基于此，Virsec将其新产品称为首款应用内存防火墙。其功能就是检测应用执行中由基于内存的攻击所造成的异常行为，并即时阻止。这听起来很有吸引力。如果检测到应用内部行为异常，内存防火墙不仅可以阻止未知零日无文件攻击，还能够提供虚拟修复。

想想就因为很多系统没打补丁而大面积爆发的WannaCry和NotPetya，再想想做案之后才有迹可循的内存攻击DoublePulsar，如果能够在攻击尚在内存之时就检测并阻止，打没打补丁也就无关紧要了，攻击也能被及时遏制。

Equifax数据泄露是另一个例子。攻击者通过在Content-Type头嵌入恶意代码利用了一个远程代码执行(RCE)漏洞。修复该Struts2漏洞非常麻烦，因为需要重构所有应用。但如果该 Apache Web服务器和应用服务器的运行受到应用内存防火墙的监视，恶意行为便会被及时检测并阻止——无需任何修复操作。

Virsec首席执行官 Atiq Raza 表示：即便漏洞被发现并修复，黑客也能开发出新的无文件技术来逃过大多数安全工具的检测。事后补救型安全防御已不再能够应对今天的攻击，我们需转向实时监测和Web应用安全，以及所有支持这些操作的过程。

内存是网络攻击新战场。但典型安全工具对运行时内存使用缺乏可见性。Virsec能够检测并阻止这些之前防御不了的攻击。

Virsec通过映射应用的合法执行来达成其实时检测并阻止攻击的目的。今年的RSA大会上，该公司宣称：执行过程中的任何异常都是遭到攻击的迹象，应用内存防火墙能够在微秒级阻止漏洞利用。Virsec能够有效保护应用运行时安全，交付远超现有安全工具的有效性和准确性。

该过程对所有已编译应用程序有效，无论该应用是专有的、开源的还是遗留的。当应用被加载到进程内存时，Virsec映射应用分配到的每块内存，并编译出一个“AppMap”。该AppMap用于与实际执行流相比较，任何不符都会被当成内存滥用或崩溃的证据。因此，应用内部的无文件攻击能够被及时检测并阻止——在造成任何损害之前。

安全从业者大多不了解进程内存工作机制，能够在内存级别操作的安全工具就更少了。与其没完没了地追逐外部威胁，Virsec选择关注应用应该做的事，深入内存层级监测他们在运行时的实际执行情况。

Virsec的选择造就了一款扛得住高级无文件攻击技术的通用防御工具，内存崩溃攻击(缓冲区溢出)、栈溢出、DLL注入、面向返回编程(ROP)及ROP小工具、边信道攻击和配置数据篡改均在该防御工具的覆盖范围之内。

2018年3月，位于美国加州圣何塞的Virsec在科技投资公司BlueIO领衔的B轮融资中收获了2,400万美元，总融资额达到了3,160万美元。