上周，数说安全创始人于江（仙儿）和安芯网盾CEO姜向前进行了一次“网友会面”，让我们一起来深度了解姜向前和安芯网盾对于“内存安全”的战略选择以及对未来市场的判断。

专注内存安全？为什么？

“看到纵深防御的靶心了吗？那就是内存。”

“所有的程序都会经过CPU进行运算，所有的数据都会经过内存进行读取。”

于江：姜总好，可以介绍一下过去这一年多时间里公司的发展情况？

姜向前：安芯网盾是19年5月成立的，当时我们就确定主打内存保护产品和市场。我们通过这一年半的时间快速成长，从内存安全的开拓者成为为该领域的领军者，我们开发了国内首创的内存保护产品，为客户提供了有价值的产品和服务。 同时，我们还拿到了BCS2020安全创客汇冠军等荣誉，一系列的成绩验证了我们过去一年多来的发展速度。

于江：大家对于内存安全这个概念的理解可能还不是特别清晰，到底什么是内存安全？客户为什么要做内存安全？姜总可以用一种相对比较通俗的方式解释一下。

姜向前：网络安全已经发展成为包含多种安全产品和关键技术组成的纵深防御体系，我们常说的纵深防御体系就像箭靶，安全产品就像箭靶上一层一层的同心圆，那么内存保护就是这个同心圆的靶心。这是因为我们看到，越靠边界的产品越难做到动态化和智能化。就比如马奇诺防线，德军选择从比利时绕过防线，所以我们从这就可以看到在边界上的防御很难通过动态的变化去实时应对新的挑战。

我们为什么要做内存保护？在创立安芯网盾之前，我们已经看到国际上针对大型企业的高级网络威胁常常采用内存攻击的手段绕过边界防护。数据显示， 70%以上的攻击是基于内存的攻击。这个结论也有第三方的一些数据的验证，比如说微软的安全专家马特·米勒(Matt Miller)提到微软过去12年修复的所有高级漏洞中超过七成都是内存问题；谷歌统计了从2015年到现在的所有的高级安全错误，发现超过70%的漏洞是基于内存的。

我们看到攻击者演进的路线已经走向内存攻击，但是这个行业里并没有专门的、有效的对内存攻击做防护的产品，所以我们推出了内存保护。最开始做内存保护产品的时候，我们花了很多的时间去研究和分析，客户的需求是什么？怎样去解决问题？什么样的产品或者服务是一种最优解？可以说我们有1000个idea，但是被否掉了999个，最后我们决定回到问题的起点，答案就很清晰了。

互联网的发展离不开计算设备，所有的计算设备都是基于冯·诺依曼体系结构的，包括我们用的手机、PC、服务器都是。冯·诺依曼体系结构有五大模块，包括控制器、运算器、内存、输入设备和输出设备。前两个模块就是CPU，输入和输出是外设，那最核心的就是两个：CPU和内存。所有的程序都会经过CPU进行运算，所有的数据都会经过内存进行读取。网络攻击和客户的业务系统实际上都是一种程序，都需要在CPU中进行执行，都需要在内存中进行读取，我们基于CPU、内存指令集这一层面去做防护，理论上是可以解决所有的问题的。

我们选择做内存这个靶心，这个选择是艰难的，最具挑战的，但是我们认为它是最有价值的。

内存保护和EDR、CWPP有什么区别？

“第一时间进行发现和检测”

“能和高级别的网络威胁做对抗”

“探针够深，识别准确，实时性强”

于江：姜总，如果将内存安全产品跟EDR、CWPP、主机加固这类产品进行一个对比，会有什么区别或者是相对的优势？

姜向前：首先我认为整个安全行业，每一款产品都有它的价值和独特的应用场景。内存保护产品是针对新型的、未知的高级网络威胁等去做防御。刚才说过所有的攻击都会经过CPU和内存进行运算，所以我们在CPU和内存指令集这个层面去做防御是实时的运行时保护，可以在第一时间进行发现和检测。第二，我们能够和最高级别的威胁进行对抗。做产品的对比的话，EDR、CWPP类型的产品，也许运行在应用层，也许运行在系统层，但内存保护是运行在系统层、应用层和硬件虚拟化层，刚刚提到过，超过70%的高级攻击手段是基于内存运行的，这种攻击是只运行在系统层、应用层的产品无法发现的。这就好比在军事战争中，你用几十年前的雷达去检测最新型的隐形战斗机一样是没有效果的。我们看到很多传统的安全产品，虽然它也有检测、分析、响应等功能，但如果检测它都检测不到就无法进行分析和实时响应、拦截。

所以内存保护使我们占领了一个技术高地， 能和最高级别的网络威胁做对抗，内存保护它有一个先天的优势是探针的深度足够深。我们看到有些安全软件采集的信息也就是它的探针是在应用层或系统上的，他通过系统层去采集信息的话，系统层开放的API数量是有限的。比如说Windows操作系统，Linux操作系统它2000多条公开的API。我给您发一封邮件带了个PDF，您在电脑上去双击运行这个PDF文件的时候，首先调用系统的一个API叫open file，那这是一个系统的API，很多的安全软件就靠通过hook系统的API来实现对计算环境的检测。我们都知道现在的操作系统越来越先进，对开放API这件事是越来越封闭的，运行在应用和系统层的这种安全软件的探针感知到的行为点就越来越少，这样它去做判断的时候就会有滞后性，准确性也会下降。而内存保护能够从更深层次去检测和防护，可以在运行时实时准确识别异常行为。就好比说咱们今天的会面，您到这个办公楼保安会测量您的体温来检测是否感染新冠病毒，体温升高是感染病毒之后的一个宏观的表现，但不是唯一的表现，要精准的识别新冠就应该在核酸序列——在DNA、RNA这个层面去做检测是最精准、有效的，这样就不会出现大量的误报。

内存保护真这么强么，目前什么客户在用？

“业务高价值、数据高价值的客户”

“某部委、大型企业是我们典型的灯塔客户”

于江：就像您说的，每一种方案都有它的这种应用场景，那我们的内存保护更匹配什么样的客户？这一年多的时间我们都做了哪些行业的客户？除了刚才说的两大趋势，内存安全产品还解决了这些客户的哪些痛点？

姜向前：这是一个好问题，回答这个问题之前要多花点时间来阐述我们设计开发内存保护这样的一款产品的初心。我们看到整个ICT市场的产业链，有最上层的应用，有系统，有硬件……我们发现越靠底层的技术，应用场景就越宽，像CPU和内存，就是极少的几家芯片厂商几乎覆盖了我们现在的各行各业。无论是交通、能源、教育、医疗等行业的服务器底层的架构都是一样的，95%以上是X86指令加Linux系统或Windows系统。我们从底层技术出发做内存保护，有一个梦想是能够支持所有的行业。

目前什么样的客户来使用我们呢？第一，客户核心业务具有非常高的价值；第二，客户拥有非常高价值的数据。对于他们的CTO、CIO或者CSO来说，我们为他解决的问题就是保护他的核心业务不被中断，核心数据资产不会窃取。所以我们现在服务的客户都是一些有大规模服务器和数据中心，比如说我们服务的某部委，它的数据和我们每一个人的生活息息相关，我们帮助他们保护这样高价值的核心数据资产不被窃取。

如何看待国内内存安全的市场？

“大型企事业单位网络拓扑、业务系统复杂，系统无法升级时，安芯可以让其带伤上阵”

“在等待漏洞升级的每一秒煎熬中，我们能让CSO放心”

于江：我们在国内市场当中看到从内存保护、内存安全这个角度来去做的创业型公司并不是特别多，国内未来几年内内存安全市场会有什么样的变化？您有什么看法。

姜向前：看市场，我们首先会去看客户的需求，比如大型的企事业单位，他们成立的时间比较长，随着ICT进程的发展，这些客户的业务由各式各样的系统去搭建，所以它的网络拓扑是异常的复杂，它上面的业务系统也更复杂，比如我们服务的国内头部电商平台，它有200多条产品线，开放的API有数百个，这种业务复杂度高的客户面临的问题是操作系统和业务系统很难进行打补丁升级，并且也无法去确定它的每一条业务线是否完成了升级。漏洞一旦爆发怎么办？如果使用内存保护，虽然无法阻止漏洞的产生，但是我们可以让漏洞无法被利用，可以让客户带伤上阵，保障业务和数据，这个需求也是很多其他客户的痛点。

在大型演练攻防项目当中，红队会经常利用漏洞展开攻击，当你知道这个漏洞的时候，你去打补丁是来不及的，并且官方的补丁推出是有时间差的，短的需要几个小时，长的话需要几天甚至几周。对于CSO来讲，如果曝出了一个漏洞，等待补丁的每一秒都是煎熬。可是安芯能让CSO放心，安装了安芯神甲智能内存保系统之后，有漏洞也不需要怕，我们的产品可以让这个漏洞无法被攻击者利用。

内存保护给灯塔客户提供价值，在攻防演练中它更是一个“神器”。在国内的这个市场已经开始在点燃，已经开始快速的增加。2020年我们参加了一些行业的CSO沙龙、研讨会等，我们看到内存攻击成为了一个高频词，内存马攻击是专家多次提出来的重点攻击方式，我们也觉得自己特别幸运，在19年很“孤独”的去关注到了这个。我们推出这个产品经过一年多的时间，甲方客户开始更多的去关注内存攻击，我们也看到很多的友商去推出类似的产品功能或者是有计划推出这样的产品，预计在今年会有大量的产品像雨后春笋一样冒出来，通过甲方在业务线上的这种实实在的需求，内存保护也开始进入了一个比较热的一个阶段。

您怎么看国外的内存安全公司？

“短时间，高估值，你说内存安全有没有价值？”

“14亿美金，相当于一个上市公司的市值”

“产品的解决方案越靠底层，它的普适性越强，未来的市场会越大”

于江：那国外的这个产品线呢？比如说我看到的Virsec、被黑莓收购的Cylance，被惠普收的Bromium，你怎么看这几家公司？在国内外市场，从技术到应用场景上有哪些差异？

姜向前：对，您对这个市场太了解了。据我们了解海外和我们是同期关注到这个市场，然后去推出相应的产品来解决这样的问题。您提到的这三家都是在19年去发布这样的产品的公司，是比较早的一波。Cylance是被14亿美金被黑莓收购，相当于一个上市公司的市值；Bromium是被惠普以很高的对价收购；Virsec是在19年推出内存防火墙这样的产品，他们在短时间内的发展都很快。所以我们看到这个市场在国外其实已经初具规模，现在我们也看到国外大量的上市公司也将内存安全加入到他们的主产品线当中去，去完成这种核心功能的覆盖。所以一年后的现在来看，国外的市场已经不仅仅是刚刚说的这三家，几乎所有大厂主流的产品几乎都会有内存保护的模块或者产品，国外这个市场非常的热。

于江：通过今天的交流，我理解内存安全还是属于在端点安全这个范畴，在国外EndPoint这个市场，像CrowdStrike的市值已经超过了500亿美金。您怎么看国内端点安全市场未来的机遇与挑战。

姜向前：我们看到第三方的研究机构说在未来十年会有超过一万亿的端，所以端点安全的市场足够大，海外的一些这些厂商的市值比较高。首先我觉得端点安全这个端，泛指的话不仅仅是PC，还包括服务器、手机，甚至是IoT、PLC……端的是市场是非常大的，一个计算单元就是一个端。1993年中科院的高能物理研究所租用了国际的通讯卫星，建立了中国连接世界的第一条网络专线，那时候如果说中国连接网络的端是一个端，当时的网络带宽只有64 kbit/s，那27年过去中国现在整个中国的网络带宽已经有20个Tbps，这个网络流量就已经像长江黄河一样宽。

回到怎样看端点安全？首先端点安全里面不同的垂直的解决方案都有它独特的价值，端点安全过去这二十多年也是逐渐在迭代，比如说从早期的杀毒软件，到后来主动防御，再有EDR等等。我们的想法是想把产品打造的更底层，用最新、最底层的技术来解决端点安全的安全问题，所以我们去推出内存保护。刚才也提到了，跟硬件更相关的是在内存上，所以我们也畅想这样的产品未来的发展空间是非常大的，虽然我们现在先专注于解决客户的服务器这个阶段环境的端点安全，但在未来我们有计划覆盖更多的这种端点。我个人的理解是技术越靠下层，产品的解决方案越靠底层，它的普适性越强，未来的市场会越大。

灵魂拷问：未来发展的目标是什么？

“打造一家技术领先的科技公司”

“内存保护：艰难，但直接、有效且优雅。”

于江：把我们的核心技术场景化，找到能够给客户创造价值这样的一个点，这个点就是商业机会。您刚才也提到了未来，最后我们来聊聊，您希望把安芯网盾最终做成一家什么样的公司？前瞻性的创业目标是什么？近期一到三年的发展战略是怎么样的？

姜向前：这是一个好问题，也是一个灵魂拷问，我想每一个创业者都会每天思考这个问题。首先我觉得应该感谢这个时代，我们选择了信息安全这个领域，又恰好是我们核心团队有超过十年以上的积累，我们能把自己的价值给发挥出来，吸引更多优秀的人加入到这个团队当中，去做有价值的产品，给社会提供价值，所以安芯网盾的愿景是做一家技术领先的、值得信赖的令人尊敬的科技公司，我们的使命就是要保护整个数字世界的安宁。

咱们刚才提到了整个人类正处在一个数字化进程的大浪潮当中，如果说现在我们所有的数字化进程只完成了30%，那未来还有更大的的空间。就像现在打车是数字化的，吃外卖是数字化的，从生活中我们能切实的感觉到整个人类处在一个数字化大浪潮当中，信息安全是这一切的基石，它非常重要。这个过程是非常艰难和有挑战的，因为信息安全很多时候是零和一的问题，作为保护客户的这一方，和攻击者去做对抗的过程就像“矛”“盾”，很难大家打一个平手。很多产品只有做到头部做到第一，才是真正有价值的，因为第二已经被穿透或者被突破了，所以这给我们自己也会提一个很高的要求。内存安全对于我们来说是一条艰难的路，但也是一条最有效的路，我们也有一些其他的选择可能很简单，但我认为不够有效，不够直接，不够优雅。

提到近三年的规划，第一年我们是找到了一个精准的客户痛点，然后通过技术去打造一个核心产品去给用户，过去一年实际上也给客户提供了这样的价值。在未来的一两年我们的战略目标还是聚焦在内存保护这个赛道当中，毕竟是我们发现了这样的机会，开辟出了这样一条路，快速的建立并不断的加强我们的技术壁垒，提高产品核心能力，在攻防这个无限对抗的博弈中，去给客户提供这样的保护，阻止攻击者造成破坏。从公司发展角度来说，我们会付出很长的时间和努力去打造一家技术领先的、值得信赖的令人尊敬的科技公司。