擒拿“潛伏之王”

在現有的網絡犯罪中，高持續性威脅（APT）是最“狡猾”的一個，為了達成最終的商業或政治目的，不惜“潛伏”數月甚至數年時間——“下一盤很大的棋”。APT往往能繞過基于特征代碼的傳統安全方案（如防病毒軟件、防火墻、IPS等），并更長時間地潛伏在系統中，讓傳統防御體系難以偵測。“潛伏性和持續性”是APT攻擊最大的威脅。

在擁有明確的目標和極強的“耐心”之余，APT又擁有多種多樣的攻擊方式和入侵途徑，除了傳統的網絡攻擊方式，APT還將廣泛普及的智能手機、平板電腦和USB等移動設備為目標和攻擊對象。此外，社交工程也是常用的行之有效的手段之一，被稱為“世界頭號黑客”的凱文·米特尼克就是一個社交工程高手。

對于商業組織和政府來說，APT攻擊極難發覺，潛在危害卻極大，尋找有效的防御APT攻擊的方法成為這些機構面臨的難題。針對APT攻擊的特點，國內外的安全服務提供商根據自身的技術特點，推出了不同的APT解決方案。近日，啟明星辰推出網關級的私有云解決方案，趨勢科技和山石網科也共同推出了“威脅偵測+防火墻阻斷”的聯合解決方案，為APT防御提供了新的思路。而在此之前，根據公開的信息，主流APT解決方案主要包括兩大類：

1、傳統特征匹配+虛擬執行引擎。代表：Fireeye

基于行為異常的檢測方法，核心思想是通過沙箱（高級蜜罐）模擬運行環境，把未知程序真實運行一遍，從程序工作的行為判斷其合法性。

優點：判斷準確性較高不易誤判或漏判；

缺點：計算資源消耗比較大，部署成本較高。

2、基于白名單的終端安全檢測方案。代表：Bit9

通過在公有云上部署的80億條白名單庫，對安裝在用戶終端上的終端軟件提供注冊服務，凡在白名單庫里未注冊過的文件均被終端禁止訪問，同時其終端軟件具有終端管理軟件常見的屬性，如移動設備控制、注冊表保護等。

優點：節省了計算資源，部署成本低；

缺點：不夠靈活，根據事先定義的特征，很有可能導致阻斷合法應用。

簡言之，啟明星辰的私有云解決方案可以理解為將上述兩種模式結合和改進，將未知威脅檢測和網關策略實時聯動，并利用云計算的方式部署；而趨勢科技和山石網科的聯合解決方案則是“結合+傳統部署”的模式。從核心理念來看，這兩種方案并沒有本質區別。

啟明星辰網關級私有云解決方案

啟明星辰私有云解決方案通過系統智能集成的海量黑白名單、規模化虛擬機動態鑒定等，對文件是否包括惡意行為進行判定，形成自動化分析報告，并與安全網關進行聯動，在不影響轉發性能的前提下大幅增強安全網關的檢測能力。優點是節省了安全網關的計算資源，檢測準確性較高不易誤判或漏判，結合網關部署方式較靈活，同樣采用此類方案的還有Fortinet。

主動云防御的概念出現在2010年，核心思想是利用云服務實時收集各個安全設備的威脅信息，并將共享的信息動態同步給其他安全設備。但是主動云防御面臨幾個問題：云服務器自身安全受到未知威脅挑戰；受公有云同步機制的限制，局域網中的安全設備無法參與主動云防御；若要實現大范圍的覆蓋，則會產生高昂的運行成本。諸多問題的存在導致主動云防御在實際環境中的運用效果并不理想。

改進方案：私有云傳承自主動云防御。私有云是通過一套應對已知/未知惡意代碼攻擊、0day/1day漏洞等攻擊的鑒別系統與若干網關設備聯動實現的，屬于網關級的高級安全防御方案。私有云解決方案利用文件黑名單、惡意代碼靜態檢測、虛擬加載執行、動態監測多種組合方式對可能用于攻擊的文件進行深度安全分析，檢測0day格式溢出以應對高級安全威脅，深度提取可執行樣本，并對未知威脅進行判別，同時將分析結果同步至聯動的安全網關，最終由安全網關策略實現訪問控制并提供詳細的行為報告。

私有云防護解決方案通過安全網關與云中心聯動、安全網關與安全網關之間信息共享實現全網動態防御。

趨勢科技山石網科聯合解決方案

聯合解決方案是趨勢科技TDA威脅發現設備與山石網科M系列防火墻智能整合形成的一體化APT防御平臺，實現“威脅識別—威脅預警—威脅阻止”的自動處理過程。

在具體應用中，趨勢科技TDA威脅發現設備獨有的偵測和關聯引擎，更精確快速地檢測出來自不同攻擊源的威脅，并在第一時間預警。同時，這些威脅分析數據將自動添加到山石網科M系列防火墻中，智能的切斷惡意代碼在內外部之間的聯系。而在易用性方面，雙方集成了在可視化管理的最新研究成果，如：山石網科的接入可視化、應用可視化，TDA的監控可視化，直觀化的數據報表，可按需求集成多種安全工具，讓企業輕松應對復雜網絡環境中的各種威脅，保障自身系統的安全，降低平臺的管理成本。

聯合解決方案的優勢體現在各自高水準的產品上，趨勢科技TDA威脅發現設備在NSS labs的測試中，以整體入侵偵測率最高和零誤判的成績優于其他廠商，處于威脅偵測細分市場的領先位置；而山石網科則入圍Gartner 2014年企業級防火墻魔力象限，在網絡安全技術領域極具前瞻性。

偵測未知威脅是防御APT攻擊的關鍵

從上面兩個解決方案可以看出APT防御的基本思路：發現潛伏的威脅，然后在網絡上阻斷有風險的連接。其中，偵測未知威脅是整個過程的關鍵，需要用到沙箱技術。

可以看出，兩個解決方案均使用了這種動態模擬分析技術，利用虛擬化環境來偵測惡意程序的行為。通過沙箱可發現電子郵件附件、共享文件或網站中的異常，把任何可疑的東西標注出來；在虛擬環境中測試嫌疑程序，以便進一步確認。

運用沙箱技術的難點在于對沙箱的行為進行分析，判斷哪些是惡意程序，以及辨識出新的攻擊手法。不僅需要對執行層進行過濾，更要對APT攻擊主要涉及的文件層進行過濾，需要一套專業的模擬環境去進行檢測。

另外，大數據分析被公認為是防御APT攻擊的“核武器”。RSA提出使用虛擬監控，利用虛擬化平臺搜集數據并進行分析。盡管數據量越大對處理平臺要求越高，但對于發現任何蛛絲馬跡的幫助也越大。如果能建立全球化的數據分析引擎，在全球范圍內進行相關數據的關聯性分析，就可以克服信息分布孤島帶來的調查取證難的問題，更容易發現攻擊。雖然一個企業或者一方政府在全球范圍內進行數據關聯性分析的可能性不大，但數據范圍越大意味著布設的“眼睛”越多，這是揪出那個“潛伏者”的最好方法。