金汤安全 Ubuntu22.04-1

介绍

我们设计了 Vault Exploits Defense (VED) 作为各种 Linux 操作系统的基础安全层。

内核级保护长期以来一直是网络空间中最具挑战性的技术之一。我们开创了一种创新的实现方式，实现了运行时的全面保护。其产品 Vault Exploits Defense (VED) 检测并阻止已知（Nday）和未知（0day）的 Linux 内核漏洞利用，这些漏洞利用通常具有极高的杀伤力，同时又极其难以检测。

在最近的测试中，使用 VED 在没有任何安全补丁的情况下可以保护 Linux，防御了 96%的已公开的针对 Linux 的漏洞利用。这个结论是基于 Ubuntu 安全跟踪器、MITRE 和公共PoC/Exploits 的统计数据得出的。

问题和风险

典型的针对操作系统内核的漏洞利用包括内存污染、进程凭据窃取等。由于大多数这些漏洞利用发生在操作系统内核内部甚至以下，因此它们很难被发现和跟踪。此外，内核漏洞利用通常具有极高的杀伤力，因为它们已经位于最深层，并具有最高的操作权限。

虽然安全一直是现代操作系统内核的关键基石，但漏洞仍然存在。更糟糕的是，由于内核级别的漏洞利用往往更加强大和致命，因此此类漏洞利用已成功绕过了安全措施的内在层。

下侧的图片就是一个例子。Linux 堆中的一个漏洞将整个系统泄露给对手，直到 2021 年才被发现，而且在此期间从未被发现。显然，目前已经存在的内核安全机制无法检测，更不用说防御这样的攻击了。虽然它们提供了很好的保护，但它们是基于已知的恶意行为的策略驱动的。为了保护系统免受这些和未来的未知威胁，需要一种新的安全机制。

解决方案概念介绍

由于大多数内核级别的漏洞利用需要精心编写的代码才能利用一系列特定但异常的缺陷和漏洞，因此可能会分析和指纹识别这样的代码路径。类似的模式也存在于授权和内存访问领域。打个比方，就像找到一种疾病的基因序列一样，我们将其称为“内核疫苗”。

此外，VED 还设计了后漏洞利用检测，以允许自动化、策略驱动的响应威胁。例如，如果检测到未经授权的特权升级，VED 可以将系统置于锁定状态以等待应急响应团队的处理；另一个例子，将 VED 部署到已经被入侵的系统中，如果攻击者之前已经对该系统植入了rootkits，那 VED 也能对其检测和阻断。

VED 已经被证明可以在没有任何特定修改或策略的情况下击败许多现有的漏洞利用。因此，它很可能会击败许多未来的漏洞利用（包括尚未知道的漏洞）。虽然任何安全措施都可以被绕过，但绕过 VED 需要对不断变化的 VED 代码基进行更复杂的分析，从而导致漏洞利用的可靠性和持久性降低。

VED 还通过使用多样化的 Linux 发行版实现了多态性安全，从而导致代码路径中的细微变化，同时享受统一的 Linux 体验的好处。

收益

目前，VED 可以阻止超过 96% 的已知漏洞利用。由于 VED 技术不是针对特定具有 CVE 编号的漏洞，因此可以推断 VED 对未知漏洞利用的阻止比例也会很高。

虽然也有一些漏洞无法防护，但目前仅占 CVE 数量的<4%。此外，由于 VED 还具有后期攻击保护功能，因此实际的影响可能会更小。