擒拿“潛伏之王”

在現有的網絡犯罪中，高持續性威脅（APT）是最“狡猾”的一個，為了達成最終的商業或政治目的，不惜“潛伏”數月甚至數年時間——“下一盤很大的棋”。APT往往能繞過基于特征代碼的傳統安全方案（如防病毒軟件、防火墻、IPS等），并更長時間地潛伏在系統中，讓傳統防御體系難以偵測。“潛伏性和持續性”是APT攻擊最大的威脅。

在擁有明確的目標和極強的“耐心”之余，APT又擁有多種多樣的攻擊方式和入侵途徑，除了傳統的網絡攻擊方式，APT還將廣泛普及的智能手機、平板電腦和USB等移動設備為目標和攻擊對象。此外，社交工程也是常用的行之有效的手段之一，被稱為“世界頭號黑客”的凱文·米特尼克就是一個社交工程高手。

對于商業組織和政府來說，APT攻擊極難發覺，潛在危害卻極大，尋找有效的防御APT攻擊的方法成為這些機構面臨的難題。針對APT攻擊的特點，國內外的安全服務提供商根據自身的技術特點，推出了不同的APT解決方案。近日，啟明星辰推出網關級的私有云解決方案，趨勢科技和山石網科也共同推出了“威脅偵測+防火墻阻斷”的聯合解決方案，為APT防御提供了新的思路。而在此之前，根據公開的信息，主流APT解決方案主要包括兩大類：

1、傳統特征匹配+虛擬執行引擎。代表：Fireeye

基于行為異常的檢測方法，核心思想是通過沙箱（高級蜜罐）模擬運行環境，把未知程序真實運行一遍，從程序工作的行為判斷其合法性。

優點：判斷準確性較高不易誤判或漏判；

缺點：計算資源消耗比較大，部署成本較高。……