近年來，網(wǎng)絡(luò)空間的安全形勢發(fā)生了巨大改變， APT攻擊增長趨勢呈指數(shù)級發(fā)展，并逐漸演變成了各種社會工程學(xué)攻擊與各類0day漏洞利用的綜合體，成為最具威脅的網(wǎng)絡(luò)攻擊方式。

面對APT 傳統(tǒng)安全體系面臨防御之困

與過去主要來自病毒和木馬的安全威脅不同，APT攻擊破壞性之大、隱蔽性之強等特性，讓如今企業(yè)所面臨的網(wǎng)絡(luò)安全風(fēng)險愈加復(fù)雜。與此同時，以APT攻擊為代表的未知威脅非常容易擊穿傳統(tǒng)技術(shù)手段組成的網(wǎng)絡(luò)安全防御體系，其威脅遠(yuǎn)遠(yuǎn)大于普通的木馬病毒。

在專注于網(wǎng)絡(luò)分析技術(shù)研究與產(chǎn)品開發(fā)的科來看來，利用各種系統(tǒng)漏洞或軟件漏洞進行滲透的惡意代碼已成為目前APT攻擊的主要手段，而利用或盜用合法的認(rèn)證簽名，利用瀏覽器漏洞和水坑攻擊將替代郵件攻擊將成為APT攻擊發(fā)展的趨勢，與此同時，攻擊者也更注重對沙盒的反檢測技術(shù)，從而躲避安全廠商的動態(tài)檢測技術(shù)。

而就目前對APT攻擊的防御現(xiàn)狀來看，傳統(tǒng)的安全軟件多以防范病毒和木馬為主，無法有效防范漏洞攻擊。只有當(dāng)漏洞被黑客大規(guī)模攻擊時，安全廠商才有機會監(jiān)測到漏洞。而傳統(tǒng)的防火墻、入侵檢測、安全網(wǎng)關(guān)、殺毒軟件和反垃圾郵件系統(tǒng)等檢測技術(shù)也主要是網(wǎng)絡(luò)邊界和主機邊界進行檢測,它們均缺乏對未知攻擊的檢測能力和對流量的深度分析能力。這種滯后響應(yīng)的方式已經(jīng)無法適應(yīng)新的安全形勢。

APT攻擊來襲如何應(yīng)對？

科來認(rèn)為，對APT攻擊的防御與傳統(tǒng)的安全防護理念有所不同， APT攻防是一個對抗的過程，攻防雙方都在不斷更新自己的技術(shù)手段。而發(fā)展至今，應(yīng)對APT的手段也是多種多樣：黑白名單、動態(tài)檢測技術(shù)、大數(shù)據(jù)分析、全流量數(shù)據(jù)審計等是目前應(yīng)用較多的防御方式。

但從安全角度來說，某一種防御技術(shù)或在某一階段設(shè)置安全策略的效果是有限的。科來指出，防御APT攻擊，最重要的是要在事前事后都做好應(yīng)對方案。在以上眾多的APT防御手段中，動態(tài)檢測技術(shù)是目前一種較為有效的檢測手段，其可以記錄樣本運行后的所有行為，以此判斷出是否是惡意的APT攻擊代碼。但這一技術(shù)也有其不足之處：有些高級的木馬會做虛擬機檢查，如果發(fā)現(xiàn)是虛擬機，則不會執(zhí)行攻擊行為，避免暴露自己。因此，動態(tài)檢測技術(shù)也不是萬能的，虛擬機環(huán)境不匹配，也無法誘導(dǎo)木馬的攻擊行為。

由此，基于此硬件模擬的虛擬化動態(tài)檢測技術(shù)應(yīng)運而生，其能夠模擬硬件的所有指令，讓木馬無法檢測是一個虛擬環(huán)境，具有防木馬反檢測的能力。據(jù)了解這也是Fire eye采用的技術(shù)，而目前國內(nèi)只有科來在應(yīng)用該項技術(shù)。

但對APT攻擊的防御絕非如此簡單，科來強調(diào)：對于APT攻擊而言，沒有百分之百的安全防護手段，在攻擊成功后，用戶還必須轉(zhuǎn)變思維，做到快速發(fā)現(xiàn)威脅，快速響應(yīng)威脅，以實現(xiàn)發(fā)現(xiàn)防御APT。對此，科來研發(fā)了一套防御APT方案和思路。

具體而言，在虛擬化動態(tài)檢測技術(shù)應(yīng)用之后，從流量中便無法再獲得攻擊樣本，木馬會通過隱蔽信道技術(shù)，通過加密或躲到正常通訊里進行C&C通訊，為了躲避檢測，通訊數(shù)據(jù)量非常少，要想?yún)^(qū)分這些數(shù)據(jù)如大海撈針。可正是因為想隱藏才會產(chǎn)生可疑的行為數(shù)據(jù)，此時通過建立異常行為模型，用異常流量檢測技術(shù)來發(fā)現(xiàn)分析隱藏在正常通訊中的特殊編碼、心跳等數(shù)據(jù)，為進一步取證分析提供線索。

然而，智者千慮難免一失。除了以上手段，全流量安全審計也是APT分析的重要保障，亦是對未知攻擊分析取證的必要手段。無論攻擊者如何隱藏，只要攻擊通過網(wǎng)絡(luò)，必然會產(chǎn)生相應(yīng)數(shù)據(jù)，企業(yè)只有做到全流量數(shù)據(jù)記錄，同時對網(wǎng)絡(luò)數(shù)據(jù)進行深度分析，并建立企業(yè)私有云，才能做到發(fā)現(xiàn)追蹤取證防御APT。

科來APT防御解決方案及思路

基于以上思路，科來開發(fā)了一套完整的APT防御解決方案，分為前端、分析中心和后臺，涵蓋了異常流量分析、動態(tài)分析和全流量回溯分析的技術(shù)。

在這套方案中，用戶可以憑借異常流量和動態(tài)分析技術(shù)發(fā)現(xiàn)網(wǎng)絡(luò)的異常和未知的高危文件型木馬，使用全流量記錄設(shè)備--回溯系統(tǒng)來調(diào)取攻擊數(shù)據(jù)進行數(shù)據(jù)包級的分析。同時，該系統(tǒng)還具有阻斷功能，可以阻斷高危的會話和域名訪問，保護內(nèi)部用戶，做到及時的止損。這樣，便使得APT解決方案從異常發(fā)現(xiàn)到取證和阻斷能夠形成一個閉環(huán)的工作模式。

具體而言，這套APT攻擊解決方案的優(yōu)勢在于：

1、該解決方案采用分布式部署、集中管理，為用戶搭建私有安全云的管理平臺，更符合國內(nèi)對安全管理的需求。

2、基于硬件模擬的動態(tài)分析技術(shù)，更能應(yīng)對不斷升級的木馬反檢測技術(shù);且具備更強大的處理性能，科來單臺分析后臺能為用戶提供同時并發(fā)運行40個虛擬機進行惡意樣本檢查，處理樣本的能力是普通的8-10倍。

3、基于行為異常的流量檢測技術(shù)貫穿于整個解決方案，能夠同時對攻擊前、中、后的流量進行深入檢查，發(fā)現(xiàn)有效的APT攻擊線索。

4、全流量數(shù)據(jù)審計，是APT分析的重要保障，也是對未知攻擊分析取證的必要手段，科來海量數(shù)據(jù)的回溯分析能力，1TB數(shù)據(jù)的檢索時間低于3秒鐘，并可進行多維度關(guān)聯(lián)分析，準(zhǔn)確快速確定潛在威脅，并全面評估事件的危害。

作為一種有針對性的攻擊手段，APT在平時很難被察覺到，也很難像木馬、病毒等被掃描出來，因此對于用戶來說，即使是使用了APT防御解決方案，也很難實際感受到其優(yōu)劣和帶來的價值。但無數(shù)的APT攻擊案例告訴我們，對于用戶而言，一旦APT攻擊實施成功，其對企業(yè)帶來的影響是空前巨大的。因此，除了部署APT攻擊防御解決方案，科來同時也為企業(yè)提出了以下幾條APT攻擊防御建議：

首先，在思想上企業(yè)的安全部門要高度重視。其次，在APT攻擊的目標(biāo)鎖定和信息采集階段，從技術(shù)上難以防范，需要從管理制度上進行防御。而在APT攻擊的滲透階段，可以通過硬件模擬動態(tài)分析技術(shù)、黑白名單、異常流量檢測、全流量審計技術(shù)、大數(shù)據(jù)分析等手段實施防御，這就涉及到了對未知攻擊的檢測能力和對流量的深度分析能力。而此時，科來的APT完整解決方案便成為企業(yè)可以選擇的多維防御方案。

結(jié)語

盡管APT攻擊已經(jīng)呈愈演愈烈之勢，但目前大部分的企業(yè)對APT攻擊都停留在聽說過的層面，只有很少的一部分用戶對APT造成的危害非常了解。這一現(xiàn)狀也就決定了大部分國內(nèi)企業(yè)均缺乏有效的防御手段，因此科來認(rèn)為，目前市場急需專門應(yīng)對APT的完整解決方案，而不單單是在傳統(tǒng)安全產(chǎn)品上稍作改動的下一代安全產(chǎn)品。

而放眼全球，APT攻擊上升到國家網(wǎng)絡(luò)空間對抗一定是不可避免的，網(wǎng)絡(luò)空間戰(zhàn)早已經(jīng)打響，APT攻擊是其中的主要方式之一。國外在網(wǎng)絡(luò)安全方面非常注重投入和規(guī)劃，并且擁有包括根域名服務(wù)器、操作系統(tǒng)、加密、芯片交換機、路由器等資源可利用。相較而言，我國對抗APT攻擊所要建的防御體系，就不僅僅只是惡意代碼的動態(tài)檢測了。對于國內(nèi)安全廠商來講，在APT攻擊防御的道路上，仍舊任重而道遠(yuǎn)。