VED（Vault Exploit Defense）：Linux内核漏洞防护

　　自从 1996 年 Aleph One 在 Phrack Issue 49 上发表了 Smashing The Stack For Fun And Profit 的论文后，开启了长期的争夺内存核心控制权的战争，攻击者在之后的 10 年里大多把目标放在用户空间，但随着用户空间 mitigation 的普及更多的攻击者开始把核心转移到了内核。

　　2015 年，PaX/GRsecurity 作者接受华盛顿邮报采访并揭露了 Linux 内核安全问题后由 Google, RedHat, ARM, Intel 豪华阵容组成 Linux 内核自防护计划。

　　可惜此计划进行了 6 年后的今天已经接近流产，但 Linux 则进入了更多重要基础设施的领域，比如电力，能源，车联网，工业控制等，遗憾的是，Linux 内核安全的问题依旧没有解决。

　　为了帮助行业客户解决以上问题，HardenedVault 开发的 Linux 内核 0day 漏洞防护方案 VED 的威胁模型，首先，VED 作为一个以 LKM 加载的方案，基本实现框架基于 hook，兼容现有 Linux 内核安全防护的 hook 方案（比如 AKO 或者 LKRG）：VED 会尽量在更早阶段针对漏洞利用平面进行阻断，失败后再进行后期的检测类阻断： 谁去守护守护者是一个安全哲学问题，VED 是一款重要安全产品，因为它是防护企业生产环境的重要防线（突破内核后就是虚拟化，固件和硬件层了，所以可以说是最后一道有意义的防线），所以 VED 必须具备自防护特性，这也算 VED 的最大亮点之一，因为迄今为止除了 PaX/GRsecurity 以外的以 LKM（内核模块）形式的内核防护方案从未考虑过自身的安全性。

　　另外，HardenedVault 也介绍了针对 AUTOSAR 的 AP 平台在车联网场景下防护车端（ARMv8.2）和基于 Kubernetes 云端（x86_64）中 VED 的威胁模型以及如何协同 Falco 以及 SIEM/ELK 达到纵深防御的目的。