擒拿“潛伏之王”

在現(xiàn)有的網(wǎng)絡(luò)犯罪中，高持續(xù)性威脅（APT）是最“狡猾”的一個，為了達(dá)成最終的商業(yè)或政治目的，不惜“潛伏”數(shù)月甚至數(shù)年時間——“下一盤很大的棋”。APT往往能繞過基于特征代碼的傳統(tǒng)安全方案（如防病毒軟件、防火墻、IPS等），并更長時間地潛伏在系統(tǒng)中，讓傳統(tǒng)防御體系難以偵測。“潛伏性和持續(xù)性”是APT攻擊最大的威脅。

在擁有明確的目標(biāo)和極強(qiáng)的“耐心”之余，APT又擁有多種多樣的攻擊方式和入侵途徑，除了傳統(tǒng)的網(wǎng)絡(luò)攻擊方式，APT還將廣泛普及的智能手機(jī)、平板電腦和USB等移動設(shè)備為目標(biāo)和攻擊對象。此外，社交工程也是常用的行之有效的手段之一，被稱為“世界頭號黑客”的凱文·米特尼克就是一個社交工程高手。

對于商業(yè)組織和政府來說，APT攻擊極難發(fā)覺，潛在危害卻極大，尋找有效的防御APT攻擊的方法成為這些機(jī)構(gòu)面臨的難題。針對APT攻擊的特點(diǎn)，國內(nèi)外的安全服務(wù)提供商根據(jù)自身的技術(shù)特點(diǎn)，推出了不同的APT解決方案。近日，啟明星辰推出網(wǎng)關(guān)級的私有云解決方案，趨勢科技和山石網(wǎng)科也共同推出了“威脅偵測+防火墻阻斷”的聯(lián)合解決方案，為APT防御提供了新的思路。而在此之前，根據(jù)公開的信息，主流APT解決方案主要包括兩大類：

1、傳統(tǒng)特征匹配+虛擬執(zhí)行引擎。代表：Fireeye

基于行為異常的檢測方法，核心思想是通過沙箱（高級蜜罐）模擬運(yùn)行環(huán)境，把未知程序真實(shí)運(yùn)行一遍，從程序工作的行為判斷其合法性。

優(yōu)點(diǎn)：判斷準(zhǔn)確性較高不易誤判或漏判；

缺點(diǎn)：計算資源消耗比較大，部署成本較高。

2、基于白名單的終端安全檢測方案。代表：Bit9

通過在公有云上部署的80億條白名單庫，對安裝在用戶終端上的終端軟件提供注冊服務(wù)，凡在白名單庫里未注冊過的文件均被終端禁止訪問，同時其終端軟件具有終端管理軟件常見的屬性，如移動設(shè)備控制、注冊表保護(hù)等。

優(yōu)點(diǎn)：節(jié)省了計算資源，部署成本低；

缺點(diǎn)：不夠靈活，根據(jù)事先定義的特征，很有可能導(dǎo)致阻斷合法應(yīng)用。

簡言之，啟明星辰的私有云解決方案可以理解為將上述兩種模式結(jié)合和改進(jìn)，將未知威脅檢測和網(wǎng)關(guān)策略實(shí)時聯(lián)動，并利用云計算的方式部署；而趨勢科技和山石網(wǎng)科的聯(lián)合解決方案則是“結(jié)合+傳統(tǒng)部署”的模式。從核心理念來看，這兩種方案并沒有本質(zhì)區(qū)別。

啟明星辰網(wǎng)關(guān)級私有云解決方案

啟明星辰私有云解決方案通過系統(tǒng)智能集成的海量黑白名單、規(guī)模化虛擬機(jī)動態(tài)鑒定等，對文件是否包括惡意行為進(jìn)行判定，形成自動化分析報告，并與安全網(wǎng)關(guān)進(jìn)行聯(lián)動，在不影響轉(zhuǎn)發(fā)性能的前提下大幅增強(qiáng)安全網(wǎng)關(guān)的檢測能力。優(yōu)點(diǎn)是節(jié)省了安全網(wǎng)關(guān)的計算資源，檢測準(zhǔn)確性較高不易誤判或漏判，結(jié)合網(wǎng)關(guān)部署方式較靈活，同樣采用此類方案的還有Fortinet。

主動云防御的概念出現(xiàn)在2010年，核心思想是利用云服務(wù)實(shí)時收集各個安全設(shè)備的威脅信息，并將共享的信息動態(tài)同步給其他安全設(shè)備。但是主動云防御面臨幾個問題：云服務(wù)器自身安全受到未知威脅挑戰(zhàn)；受公有云同步機(jī)制的限制，局域網(wǎng)中的安全設(shè)備無法參與主動云防御；若要實(shí)現(xiàn)大范圍的覆蓋，則會產(chǎn)生高昂的運(yùn)行成本。諸多問題的存在導(dǎo)致主動云防御在實(shí)際環(huán)境中的運(yùn)用效果并不理想。

改進(jìn)方案：私有云傳承自主動云防御。私有云是通過一套應(yīng)對已知/未知惡意代碼攻擊、0day/1day漏洞等攻擊的鑒別系統(tǒng)與若干網(wǎng)關(guān)設(shè)備聯(lián)動實(shí)現(xiàn)的，屬于網(wǎng)關(guān)級的高級安全防御方案。私有云解決方案利用文件黑名單、惡意代碼靜態(tài)檢測、虛擬加載執(zhí)行、動態(tài)監(jiān)測多種組合方式對可能用于攻擊的文件進(jìn)行深度安全分析，檢測0day格式溢出以應(yīng)對高級安全威脅，深度提取可執(zhí)行樣本，并對未知威脅進(jìn)行判別，同時將分析結(jié)果同步至聯(lián)動的安全網(wǎng)關(guān)，最終由安全網(wǎng)關(guān)策略實(shí)現(xiàn)訪問控制并提供詳細(xì)的行為報告。

私有云防護(hù)解決方案通過安全網(wǎng)關(guān)與云中心聯(lián)動、安全網(wǎng)關(guān)與安全網(wǎng)關(guān)之間信息共享實(shí)現(xiàn)全網(wǎng)動態(tài)防御。

趨勢科技山石網(wǎng)科聯(lián)合解決方案

聯(lián)合解決方案是趨勢科技TDA威脅發(fā)現(xiàn)設(shè)備與山石網(wǎng)科M系列防火墻智能整合形成的一體化APT防御平臺，實(shí)現(xiàn)“威脅識別—威脅預(yù)警—威脅阻止”的自動處理過程。

在具體應(yīng)用中，趨勢科技TDA威脅發(fā)現(xiàn)設(shè)備獨(dú)有的偵測和關(guān)聯(lián)引擎，更精確快速地檢測出來自不同攻擊源的威脅，并在第一時間預(yù)警。同時，這些威脅分析數(shù)據(jù)將自動添加到山石網(wǎng)科M系列防火墻中，智能的切斷惡意代碼在內(nèi)外部之間的聯(lián)系。而在易用性方面，雙方集成了在可視化管理的最新研究成果，如：山石網(wǎng)科的接入可視化、應(yīng)用可視化，TDA的監(jiān)控可視化，直觀化的數(shù)據(jù)報表，可按需求集成多種安全工具，讓企業(yè)輕松應(yīng)對復(fù)雜網(wǎng)絡(luò)環(huán)境中的各種威脅，保障自身系統(tǒng)的安全，降低平臺的管理成本。

聯(lián)合解決方案的優(yōu)勢體現(xiàn)在各自高水準(zhǔn)的產(chǎn)品上，趨勢科技TDA威脅發(fā)現(xiàn)設(shè)備在NSS labs的測試中，以整體入侵偵測率最高和零誤判的成績優(yōu)于其他廠商，處于威脅偵測細(xì)分市場的領(lǐng)先位置；而山石網(wǎng)科則入圍Gartner 2014年企業(yè)級防火墻魔力象限，在網(wǎng)絡(luò)安全技術(shù)領(lǐng)域極具前瞻性。

偵測未知威脅是防御APT攻擊的關(guān)鍵

從上面兩個解決方案可以看出APT防御的基本思路：發(fā)現(xiàn)潛伏的威脅，然后在網(wǎng)絡(luò)上阻斷有風(fēng)險的連接。其中，偵測未知威脅是整個過程的關(guān)鍵，需要用到沙箱技術(shù)。

可以看出，兩個解決方案均使用了這種動態(tài)模擬分析技術(shù)，利用虛擬化環(huán)境來偵測惡意程序的行為。通過沙箱可發(fā)現(xiàn)電子郵件附件、共享文件或網(wǎng)站中的異常，把任何可疑的東西標(biāo)注出來；在虛擬環(huán)境中測試嫌疑程序，以便進(jìn)一步確認(rèn)。

運(yùn)用沙箱技術(shù)的難點(diǎn)在于對沙箱的行為進(jìn)行分析，判斷哪些是惡意程序，以及辨識出新的攻擊手法。不僅需要對執(zhí)行層進(jìn)行過濾，更要對APT攻擊主要涉及的文件層進(jìn)行過濾，需要一套專業(yè)的模擬環(huán)境去進(jìn)行檢測。

另外，大數(shù)據(jù)分析被公認(rèn)為是防御APT攻擊的“核武器”。RSA提出使用虛擬監(jiān)控，利用虛擬化平臺搜集數(shù)據(jù)并進(jìn)行分析。盡管數(shù)據(jù)量越大對處理平臺要求越高，但對于發(fā)現(xiàn)任何蛛絲馬跡的幫助也越大。如果能建立全球化的數(shù)據(jù)分析引擎，在全球范圍內(nèi)進(jìn)行相關(guān)數(shù)據(jù)的關(guān)聯(lián)性分析，就可以克服信息分布孤島帶來的調(diào)查取證難的問題，更容易發(fā)現(xiàn)攻擊。雖然一個企業(yè)或者一方政府在全球范圍內(nèi)進(jìn)行數(shù)據(jù)關(guān)聯(lián)性分析的可能性不大，但數(shù)據(jù)范圍越大意味著布設(shè)的“眼睛”越多，這是揪出那個“潛伏者”的最好方法。