擒拿“潛伏之王”

在現(xiàn)有的網(wǎng)絡(luò)犯罪中，高持續(xù)性威脅（APT）是最“狡猾”的一個(gè)，為了達(dá)成最終的商業(yè)或政治目的，不惜“潛伏”數(shù)月甚至數(shù)年時(shí)間——“下一盤很大的棋”。APT往往能繞過基于特征代碼的傳統(tǒng)安全方案（如防病毒軟件、防火墻、IPS等），并更長(zhǎng)時(shí)間地潛伏在系統(tǒng)中，讓傳統(tǒng)防御體系難以偵測(cè)。“潛伏性和持續(xù)性”是APT攻擊最大的威脅。

在擁有明確的目標(biāo)和極強(qiáng)的“耐心”之余，APT又擁有多種多樣的攻擊方式和入侵途徑，除了傳統(tǒng)的網(wǎng)絡(luò)攻擊方式，APT還將廣泛普及的智能手機(jī)、平板電腦和USB等移動(dòng)設(shè)備為目標(biāo)和攻擊對(duì)象。此外，社交工程也是常用的行之有效的手段之一，被稱為“世界頭號(hào)黑客”的凱文·米特尼克就是一個(gè)社交工程高手。

對(duì)于商業(yè)組織和政府來說，APT攻擊極難發(fā)覺，潛在危害卻極大，尋找有效的防御APT攻擊的方法成為這些機(jī)構(gòu)面臨的難題。針對(duì)APT攻擊的特點(diǎn)，國(guó)內(nèi)外的安全服務(wù)提供商根據(jù)自身的技術(shù)特點(diǎn)，推出了不同的APT解決方案。近日，啟明星辰推出網(wǎng)關(guān)級(jí)的私有云解決方案，趨勢(shì)科技和山石網(wǎng)科也共同推出了“威脅偵測(cè)+防火墻阻斷”的聯(lián)合解決方案，為APT防御提供了新的思路。而在此之前，根據(jù)公開的信息，主流APT解決方案主要包括兩大類：

1、傳統(tǒng)特征匹配+虛擬執(zhí)行引擎。代表：Fireeye

基于行為異常的檢測(cè)方法，核心思想是通過沙箱（高級(jí)蜜罐）模擬運(yùn)行環(huán)境，把未知程序真實(shí)運(yùn)行一遍，從程序工作的行為判斷其合法性。

優(yōu)點(diǎn)：判斷準(zhǔn)確性較高不易誤判或漏判；

缺點(diǎn)：計(jì)算資源消耗比較大，部署成本較高。

2、基于白名單的終端安全檢測(cè)方案。代表：Bit9

通過在公有云上部署的80億條白名單庫(kù)，對(duì)安裝在用戶終端上的終端軟件提供注冊(cè)服務(wù)，凡在白名單庫(kù)里未注冊(cè)過的文件均被終端禁止訪問，同時(shí)其終端軟件具有終端管理軟件常見的屬性，如移動(dòng)設(shè)備控制、注冊(cè)表保護(hù)等。

優(yōu)點(diǎn)：節(jié)省了計(jì)算資源，部署成本低；

缺點(diǎn)：不夠靈活，根據(jù)事先定義的特征，很有可能導(dǎo)致阻斷合法應(yīng)用。

簡(jiǎn)言之，啟明星辰的私有云解決方案可以理解為將上述兩種模式結(jié)合和改進(jìn)，將未知威脅檢測(cè)和網(wǎng)關(guān)策略實(shí)時(shí)聯(lián)動(dòng)，并利用云計(jì)算的方式部署；而趨勢(shì)科技和山石網(wǎng)科的聯(lián)合解決方案則是“結(jié)合+傳統(tǒng)部署”的模式。從核心理念來看，這兩種方案并沒有本質(zhì)區(qū)別。

啟明星辰網(wǎng)關(guān)級(jí)私有云解決方案

啟明星辰私有云解決方案通過系統(tǒng)智能集成的海量黑白名單、規(guī)?；摂M機(jī)動(dòng)態(tài)鑒定等，對(duì)文件是否包括惡意行為進(jìn)行判定，形成自動(dòng)化分析報(bào)告，并與安全網(wǎng)關(guān)進(jìn)行聯(lián)動(dòng)，在不影響轉(zhuǎn)發(fā)性能的前提下大幅增強(qiáng)安全網(wǎng)關(guān)的檢測(cè)能力。優(yōu)點(diǎn)是節(jié)省了安全網(wǎng)關(guān)的計(jì)算資源，檢測(cè)準(zhǔn)確性較高不易誤判或漏判，結(jié)合網(wǎng)關(guān)部署方式較靈活，同樣采用此類方案的還有Fortinet。

主動(dòng)云防御的概念出現(xiàn)在2010年，核心思想是利用云服務(wù)實(shí)時(shí)收集各個(gè)安全設(shè)備的威脅信息，并將共享的信息動(dòng)態(tài)同步給其他安全設(shè)備。但是主動(dòng)云防御面臨幾個(gè)問題：云服務(wù)器自身安全受到未知威脅挑戰(zhàn)；受公有云同步機(jī)制的限制，局域網(wǎng)中的安全設(shè)備無法參與主動(dòng)云防御；若要實(shí)現(xiàn)大范圍的覆蓋，則會(huì)產(chǎn)生高昂的運(yùn)行成本。諸多問題的存在導(dǎo)致主動(dòng)云防御在實(shí)際環(huán)境中的運(yùn)用效果并不理想。

改進(jìn)方案：私有云傳承自主動(dòng)云防御。私有云是通過一套應(yīng)對(duì)已知/未知惡意代碼攻擊、0day/1day漏洞等攻擊的鑒別系統(tǒng)與若干網(wǎng)關(guān)設(shè)備聯(lián)動(dòng)實(shí)現(xiàn)的，屬于網(wǎng)關(guān)級(jí)的高級(jí)安全防御方案。私有云解決方案利用文件黑名單、惡意代碼靜態(tài)檢測(cè)、虛擬加載執(zhí)行、動(dòng)態(tài)監(jiān)測(cè)多種組合方式對(duì)可能用于攻擊的文件進(jìn)行深度安全分析，檢測(cè)0day格式溢出以應(yīng)對(duì)高級(jí)安全威脅，深度提取可執(zhí)行樣本，并對(duì)未知威脅進(jìn)行判別，同時(shí)將分析結(jié)果同步至聯(lián)動(dòng)的安全網(wǎng)關(guān)，最終由安全網(wǎng)關(guān)策略實(shí)現(xiàn)訪問控制并提供詳細(xì)的行為報(bào)告。

私有云防護(hù)解決方案通過安全網(wǎng)關(guān)與云中心聯(lián)動(dòng)、安全網(wǎng)關(guān)與安全網(wǎng)關(guān)之間信息共享實(shí)現(xiàn)全網(wǎng)動(dòng)態(tài)防御。

趨勢(shì)科技山石網(wǎng)科聯(lián)合解決方案

聯(lián)合解決方案是趨勢(shì)科技TDA威脅發(fā)現(xiàn)設(shè)備與山石網(wǎng)科M系列防火墻智能整合形成的一體化APT防御平臺(tái)，實(shí)現(xiàn)“威脅識(shí)別—威脅預(yù)警—威脅阻止”的自動(dòng)處理過程。

在具體應(yīng)用中，趨勢(shì)科技TDA威脅發(fā)現(xiàn)設(shè)備獨(dú)有的偵測(cè)和關(guān)聯(lián)引擎，更精確快速地檢測(cè)出來自不同攻擊源的威脅，并在第一時(shí)間預(yù)警。同時(shí)，這些威脅分析數(shù)據(jù)將自動(dòng)添加到山石網(wǎng)科M系列防火墻中，智能的切斷惡意代碼在內(nèi)外部之間的聯(lián)系。而在易用性方面，雙方集成了在可視化管理的最新研究成果，如：山石網(wǎng)科的接入可視化、應(yīng)用可視化，TDA的監(jiān)控可視化，直觀化的數(shù)據(jù)報(bào)表，可按需求集成多種安全工具，讓企業(yè)輕松應(yīng)對(duì)復(fù)雜網(wǎng)絡(luò)環(huán)境中的各種威脅，保障自身系統(tǒng)的安全，降低平臺(tái)的管理成本。

聯(lián)合解決方案的優(yōu)勢(shì)體現(xiàn)在各自高水準(zhǔn)的產(chǎn)品上，趨勢(shì)科技TDA威脅發(fā)現(xiàn)設(shè)備在NSS labs的測(cè)試中，以整體入侵偵測(cè)率最高和零誤判的成績(jī)優(yōu)于其他廠商，處于威脅偵測(cè)細(xì)分市場(chǎng)的領(lǐng)先位置；而山石網(wǎng)科則入圍Gartner 2014年企業(yè)級(jí)防火墻魔力象限，在網(wǎng)絡(luò)安全技術(shù)領(lǐng)域極具前瞻性。

偵測(cè)未知威脅是防御APT攻擊的關(guān)鍵

從上面兩個(gè)解決方案可以看出APT防御的基本思路：發(fā)現(xiàn)潛伏的威脅，然后在網(wǎng)絡(luò)上阻斷有風(fēng)險(xiǎn)的連接。其中，偵測(cè)未知威脅是整個(gè)過程的關(guān)鍵，需要用到沙箱技術(shù)。

可以看出，兩個(gè)解決方案均使用了這種動(dòng)態(tài)模擬分析技術(shù)，利用虛擬化環(huán)境來偵測(cè)惡意程序的行為。通過沙箱可發(fā)現(xiàn)電子郵件附件、共享文件或網(wǎng)站中的異常，把任何可疑的東西標(biāo)注出來；在虛擬環(huán)境中測(cè)試嫌疑程序，以便進(jìn)一步確認(rèn)。

運(yùn)用沙箱技術(shù)的難點(diǎn)在于對(duì)沙箱的行為進(jìn)行分析，判斷哪些是惡意程序，以及辨識(shí)出新的攻擊手法。不僅需要對(duì)執(zhí)行層進(jìn)行過濾，更要對(duì)APT攻擊主要涉及的文件層進(jìn)行過濾，需要一套專業(yè)的模擬環(huán)境去進(jìn)行檢測(cè)。

另外，大數(shù)據(jù)分析被公認(rèn)為是防御APT攻擊的“核武器”。RSA提出使用虛擬監(jiān)控，利用虛擬化平臺(tái)搜集數(shù)據(jù)并進(jìn)行分析。盡管數(shù)據(jù)量越大對(duì)處理平臺(tái)要求越高，但對(duì)于發(fā)現(xiàn)任何蛛絲馬跡的幫助也越大。如果能建立全球化的數(shù)據(jù)分析引擎，在全球范圍內(nèi)進(jìn)行相關(guān)數(shù)據(jù)的關(guān)聯(lián)性分析，就可以克服信息分布孤島帶來的調(diào)查取證難的問題，更容易發(fā)現(xiàn)攻擊。雖然一個(gè)企業(yè)或者一方政府在全球范圍內(nèi)進(jìn)行數(shù)據(jù)關(guān)聯(lián)性分析的可能性不大，但數(shù)據(jù)范圍越大意味著布設(shè)的“眼睛”越多，這是揪出那個(gè)“潛伏者”的最好方法。