據(jù)統(tǒng)計(jì),2013年1-6月新增木馬月均上億,其中未知木馬增幅明顯。在安全漏洞方面,零日漏洞占比居高不下。威脅防御難度正在以指數(shù)速度增長,安全威脅在變得愈發(fā)復(fù)雜,需要實(shí)現(xiàn)綜合的安全防御。APT類攻擊主要是未知威脅,其所采用獨(dú)特的攻擊方式和手段,使得傳統(tǒng)依靠特征庫的網(wǎng)關(guān)產(chǎn)品已經(jīng)不適合于對APT形成有效防御。面對新安全形勢下的新威脅,傳統(tǒng)安全防護(hù)設(shè)備亟需做出調(diào)整和升級。
APT攻擊主要面向政府機(jī)構(gòu)、重要信息部門、高新技術(shù)單位等,震網(wǎng)病毒、火焰病毒、紅色十月……APT攻擊正在亮出其鋒利的獠牙。據(jù)統(tǒng)計(jì),震網(wǎng)病毒拖后了伊朗核計(jì)劃達(dá)兩年之久?;鹧娌《就瑯永梦粗┒锤腥局鳈C(jī),進(jìn)而感染全網(wǎng),記錄鍵盤操作、屏幕信息,甚至進(jìn)行錄音,在獲取機(jī)密數(shù)據(jù)后,其還會將其自身銷毀。來無蹤去無影是APT類攻擊所最求的最高境界,但這對于安全防御者而言則不是一個好消息。因?yàn)楫?dāng)APT類攻擊被發(fā)現(xiàn)時,往往攻擊可能已經(jīng)達(dá)成目的。
安全專家認(rèn)為,APT攻擊的解決思路主要有,主機(jī)應(yīng)用保護(hù)、網(wǎng)絡(luò)入侵檢測、數(shù)據(jù)防泄密、大數(shù)據(jù)分析審計(jì)、網(wǎng)關(guān)惡意代碼檢測等。
Bit9就是通過白名單比對機(jī)制發(fā)現(xiàn)惡意程序,這種方式容易部署、維護(hù)、快速,但檢測率完全依靠于白名單的數(shù)量,而且在未知威脅面前防御很弱。FireEye對未知威脅檢測率很高,部署簡單,但性能較低。RSA通過大數(shù)據(jù)分析進(jìn)行檢測,理論檢測率很高,但不易于維護(hù),對資源要求很高。啟明星辰的網(wǎng)關(guān)級APT防御方案,會首先在網(wǎng)關(guān)本地安全特征庫進(jìn)行檢測,然后進(jìn)一步在私有云中心的黑白名單進(jìn)行檢測,如果還無法確認(rèn)未知威脅,還將在沙箱里虛擬執(zhí)行,實(shí)現(xiàn)單點(diǎn)誘發(fā)全網(wǎng)實(shí)時同步獲取執(zhí)行結(jié)果。這樣一方面提高了檢測率,可以實(shí)現(xiàn)實(shí)時防御,擁有較高性能,而且易于維護(hù)。
可檢測、可阻擋是啟明星辰網(wǎng)關(guān)級APT攻擊解決方案的主要目標(biāo),實(shí)現(xiàn)高檢測率和高性能之間的平衡。在APT攻擊第一步——充分利用合法請求試圖發(fā)起欺詐攻擊時,就可以在網(wǎng)關(guān)里通過特征庫進(jìn)行初步分析。當(dāng)APT攻擊試圖傳送包含0day漏洞的受信任文件時,私有云里的白名單庫將對文件信譽(yù)進(jìn)行評估。而當(dāng)APT攻擊利用0day漏洞、未知病毒木馬等多種方式進(jìn)行組合滲透并定向擴(kuò)散時,私有云里的黑名單庫和虛擬執(zhí)行可以進(jìn)行及時的發(fā)現(xiàn)。在APT攻擊的事中階段進(jìn)行發(fā)現(xiàn)并實(shí)現(xiàn)阻斷是啟明星辰的主要目標(biāo)。
傳統(tǒng)方案要進(jìn)行多點(diǎn)檢測、統(tǒng)一分析、統(tǒng)一運(yùn)維,這需要一個好的安全管理系統(tǒng)才能夠?qū)崿F(xiàn),而且其實(shí)時決策點(diǎn)在網(wǎng)絡(luò)之外。而啟明星辰則將實(shí)時決策點(diǎn)放在了網(wǎng)絡(luò)之內(nèi),突出實(shí)時分析的同時擁有防御能力。
啟明星辰的網(wǎng)關(guān)級APT攻擊解決方案非常強(qiáng)調(diào)“判定”,并不僅僅提供一個可參考的數(shù)據(jù),給出結(jié)論并實(shí)施正確的防御是啟明星辰所要做到的。為了保證“判定”的準(zhǔn)確率,啟明星辰采取了多種手段,比如在私有云里就增加了相關(guān)判定機(jī)制,為“判定”提供了進(jìn)一步的保障。
啟明星辰為用戶建立的私有云防護(hù)中心可以彈性擴(kuò)展,根據(jù)防護(hù)需求進(jìn)行資源的彈性擴(kuò)展。私有云中心的環(huán)境可以通過定制完全模擬用戶的企業(yè)業(yè)務(wù)網(wǎng)絡(luò)環(huán)境,實(shí)現(xiàn)對APT攻擊更具真實(shí)性的迷惑,讓其更快露出作惡的痕跡。啟明星辰所建立的私有云檢測中心采取多種防躲避沙箱的技術(shù),能夠?qū)崿F(xiàn)對APT類攻擊的更早發(fā)現(xiàn)。
對于APT攻擊的識別并不僅僅是簡單的特征數(shù)據(jù)疊加,還需要有相關(guān)的識別判別知識,實(shí)現(xiàn)真正的Security in Knowledge才能實(shí)現(xiàn)對APT攻擊更為有效的防御。啟明星辰的網(wǎng)關(guān)級APT防御解決方案,把用戶網(wǎng)絡(luò)環(huán)境的網(wǎng)關(guān)防護(hù)提升至新的高度,為用戶提供更加值得信賴、更加穩(wěn)固的網(wǎng)絡(luò)安全解決方案。