近年來(lái)，隨著互聯(lián)網(wǎng)技術(shù)的發(fā)展，以“虛擬化技術(shù)”和“高速網(wǎng)絡(luò)”發(fā)展為基石的云計(jì)算被視為未來(lái)互聯(lián)網(wǎng)時(shí)代發(fā)展的重要變革。隨著云計(jì)算技術(shù)的逐漸落地，網(wǎng)民在互聯(lián)網(wǎng)上面臨的安全問(wèn)題越來(lái)越嚴(yán)峻，云計(jì)算的程度越高，以往針對(duì)個(gè)人的分散式攻擊變得越來(lái)越?jīng)]有效率，黑客一定會(huì)聚焦于云計(jì)算平臺(tái)，施以專(zhuān)注、專(zhuān)業(yè)的APT攻擊，以期獲取最大量、最核心的機(jī)密數(shù)據(jù)，從而造成最大的破壞，或獲得最大的利益。更有國(guó)外媒體大膽預(yù)測(cè)，云計(jì)算技術(shù)一旦普及，基于客戶端的安全問(wèn)題就不會(huì)再存在太大問(wèn)題，我們更多的應(yīng)該關(guān)注云平臺(tái)、數(shù)據(jù)中心、DMZ、服務(wù)器區(qū)等APT攻擊的聚集點(diǎn)。

與APT攻擊的專(zhuān)業(yè)性和復(fù)雜度相對(duì)應(yīng)，企業(yè)對(duì)其的防范非常困難。黑客在暗中通過(guò)社會(huì)工程學(xué)等手段收集大量信息，而被攻擊者毫不知情。由此造成的信息不對(duì)稱(chēng)造成了對(duì)APT攻擊的防御難點(diǎn)。

就目前對(duì)APT攻擊的防御現(xiàn)狀來(lái)看，傳統(tǒng)的安全軟件多以防范病毒和木馬為主，無(wú)法有效防范漏洞攻擊。只有當(dāng)漏洞被黑客大規(guī)模攻擊時(shí)，安全廠商才有機(jī)會(huì)監(jiān)測(cè)到漏洞。而傳統(tǒng)的防火墻、入侵檢測(cè)、安全網(wǎng)關(guān)、殺毒軟件和反垃圾郵件系統(tǒng)等檢測(cè)技術(shù)也主要是網(wǎng)絡(luò)邊界和主機(jī)邊界進(jìn)行檢測(cè),它們均缺乏對(duì)未知攻擊的檢測(cè)能力和對(duì)流量的深度分析能力。這種滯后響應(yīng)的方式已經(jīng)無(wú)法適應(yīng)新的安全形勢(shì)。

APT防御困局如何破解?

據(jù)科來(lái)介紹，利用0day漏洞進(jìn)行的APT攻擊，是非常難防御的未知攻擊，雖然防御難度高，但業(yè)界公認(rèn)的動(dòng)態(tài)檢測(cè)技術(shù)，是一種有效的防御手段，可以通過(guò)執(zhí)行樣本來(lái)觀察其所有行為，檢測(cè)是否含有惡意的APT攻擊代碼。但是高級(jí)木馬會(huì)主動(dòng)匹配目標(biāo)主機(jī)環(huán)境，只有環(huán)境匹配才可能誘導(dǎo)樣本的木馬行為。但這一技術(shù)也有不足之處：有些高級(jí)木馬具備多種逃逸技術(shù)，甚至?xí)ㄟ^(guò)是否具有人工動(dòng)作判斷是否為虛擬機(jī)，避免暴露自己。所以動(dòng)態(tài)檢測(cè)技術(shù)的優(yōu)劣還在于防木馬的逃逸檢測(cè)能力，不被木馬檢測(cè)是關(guān)鍵。所以基于硬件指令模擬技術(shù)，是一種更好的檢測(cè)對(duì)抗技術(shù)，據(jù)了解這也是Fire eye采用的技術(shù)，而目前國(guó)內(nèi)只有科來(lái)在應(yīng)用該項(xiàng)技術(shù)。

然而，對(duì)于APT防御，動(dòng)態(tài)檢測(cè)只是對(duì)抗惡意代碼或樣本的攻擊階段，對(duì)于攻擊前和攻擊后的行為分析，則需要有異常流量的檢測(cè)技術(shù)和全流量審計(jì)的回查技術(shù)來(lái)配合。木馬攻擊成功后，潛伏下來(lái)后會(huì)通過(guò)隱蔽信道技術(shù)躲避檢查，心跳數(shù)據(jù)非常少，甚至加密，混在大量的流量里，要辨別非常困難，猶如大海撈針。這就需要有非常精確的應(yīng)用和協(xié)議鑒別技術(shù)，通過(guò)建立異常行為模型可在一定程度上解決問(wèn)題，也就是異常流量檢測(cè)技術(shù)。據(jù)科來(lái)介紹，無(wú)論攻擊者如何隱藏，只要通過(guò)網(wǎng)絡(luò)傳輸，必然會(huì)產(chǎn)生相應(yīng)數(shù)據(jù)，所以全流量的安全審計(jì)是 APT安全檢測(cè)中必不可少的技術(shù)，企業(yè)只有做到全流量數(shù)據(jù)記錄，同時(shí)對(duì)網(wǎng)絡(luò)數(shù)據(jù)進(jìn)行深度分析，并建立企業(yè)私有云，才能做到發(fā)現(xiàn)追蹤取證防御APT。

科來(lái)APT防御解決方案及思路

基于以上思路，科來(lái)自主研發(fā)了一套完整APT解決方案，分為前端、分析中心和后臺(tái)，涵蓋了異常流量分析、動(dòng)態(tài)分析和全流量回溯分析的技術(shù)。

用戶可以憑借異常流量和動(dòng)態(tài)分析技術(shù)發(fā)現(xiàn)網(wǎng)絡(luò)的異常和未知的高危文件型木馬，使用全流量記錄設(shè)備--回溯系統(tǒng)來(lái)調(diào)取攻擊數(shù)據(jù)進(jìn)行數(shù)據(jù)包級(jí)的分析，系統(tǒng)還具有阻斷功能，可以阻斷高危的會(huì)話和域名訪問(wèn)，保護(hù)內(nèi)部用戶，做到及時(shí)的止損。這樣使得APT解決方案從異常發(fā)現(xiàn)到取證和阻斷能夠形成一個(gè)閉環(huán)的工作模式。

作為一種有針對(duì)性的攻擊手段，APT在未發(fā)動(dòng)攻擊時(shí)很難被察覺(jué)到，也很難像木馬、病毒等被掃秒出來(lái)，因此對(duì)于用戶來(lái)說(shuō)，即使是試用了APT防御解決方案，也很難實(shí)際感受到其優(yōu)劣和帶來(lái)的價(jià)值，但一旦出現(xiàn)問(wèn)題帶來(lái)的影響是空前巨大的。因此，除了部署APT防御解決方案，科來(lái)同時(shí)也為企業(yè)提出了以下幾條APT攻擊防御建議：

1、在思想上企業(yè)的安全部門(mén)要高度重視，不要認(rèn)為APT攻擊離自己很遙遠(yuǎn)。

2、在APT攻擊的目標(biāo)鎖定和信息采集階段，從技術(shù)上難以防范，需要從管理制度上進(jìn)行防御。而在APT攻擊的滲透階段，可以通過(guò)硬件模擬動(dòng)態(tài)分析技術(shù)、黑白名單、異常流量檢測(cè)、全流量審計(jì)技術(shù)、大數(shù)據(jù)分析等手段實(shí)施防御，這就涉及到了對(duì)未知攻擊的檢測(cè)能力和對(duì)流量的深度分析能力。而此時(shí)，科來(lái)的APT完整解決方案便成為企業(yè)可以選擇的多維防御方案。

APT防御形式嚴(yán)峻任重道遠(yuǎn)

在網(wǎng)絡(luò)空間日益被重視的今天，APT攻擊已經(jīng)是國(guó)家網(wǎng)絡(luò)空間對(duì)抗的一種手段，并且已不可避免，以美國(guó)為首的五只眼，聯(lián)合更多國(guó)家的全球信息監(jiān)控，會(huì)進(jìn)一步推動(dòng)全球各國(guó)重視網(wǎng)絡(luò)空間對(duì)抗。

APT攻擊是國(guó)家網(wǎng)絡(luò)對(duì)抗的主要方式之一，我們需要借鑒美國(guó)在網(wǎng)絡(luò)安全方面的投入和規(guī)劃。但是，我們面對(duì)APT攻擊防護(hù)起來(lái)難度要遠(yuǎn)高于美國(guó)，因?yàn)槊绹?guó)掌握了大量的網(wǎng)絡(luò)資源和網(wǎng)絡(luò)技術(shù)，如根域名服務(wù)器、操作系統(tǒng)、芯片、交換機(jī)、路由器等，我們要建立的防御體系，不僅僅只是惡意代碼的動(dòng)態(tài)檢測(cè)或是是在傳統(tǒng)安全產(chǎn)品上稍作改動(dòng)的下一代安全產(chǎn)品，而是需要具備像Fireeye等國(guó)外安全企業(yè)那樣有效的APT檢測(cè)手段，同時(shí)具備對(duì)數(shù)據(jù)的追溯回查能力，做到對(duì)APT攻擊的發(fā)現(xiàn)、追蹤、取證和防御。