據(jù)統(tǒng)計(jì)，2013年1-6月新增木馬月均上億，其中未知木馬增幅明顯。在安全漏洞方面，零日漏洞占比居高不下。威脅防御難度正在以指數(shù)速度增長(zhǎng)，安全威脅在變得愈發(fā)復(fù)雜，需要實(shí)現(xiàn)綜合的安全防御。APT類攻擊主要是未知威脅，其所采用獨(dú)特的攻擊方式和手段，使得傳統(tǒng)依靠特征庫(kù)的網(wǎng)關(guān)產(chǎn)品已經(jīng)不適合于對(duì)APT形成有效防御。面對(duì)新安全形勢(shì)下的新威脅，傳統(tǒng)安全防護(hù)設(shè)備亟需做出調(diào)整和升級(jí)。

APT攻擊主要面向政府機(jī)構(gòu)、重要信息部門、高新技術(shù)單位等，震網(wǎng)病毒、火焰病毒、紅色十月……APT攻擊正在亮出其鋒利的獠牙。據(jù)統(tǒng)計(jì)，震網(wǎng)病毒拖后了伊朗核計(jì)劃達(dá)兩年之久。火焰病毒同樣利用未知漏洞感染主機(jī)，進(jìn)而感染全網(wǎng)，記錄鍵盤操作、屏幕信息，甚至進(jìn)行錄音，在獲取機(jī)密數(shù)據(jù)后，其還會(huì)將其自身銷毀。來(lái)無(wú)蹤去無(wú)影是APT類攻擊所最求的最高境界，但這對(duì)于安全防御者而言則不是一個(gè)好消息。因?yàn)楫?dāng)APT類攻擊被發(fā)現(xiàn)時(shí)，往往攻擊可能已經(jīng)達(dá)成目的。

安全專家認(rèn)為，APT攻擊的解決思路主要有，主機(jī)應(yīng)用保護(hù)、網(wǎng)絡(luò)入侵檢測(cè)、數(shù)據(jù)防泄密、大數(shù)據(jù)分析審計(jì)、網(wǎng)關(guān)惡意代碼檢測(cè)等。

Bit9就是通過(guò)白名單比對(duì)機(jī)制發(fā)現(xiàn)惡意程序，這種方式容易部署、維護(hù)、快速，但檢測(cè)率完全依靠于白名單的數(shù)量，而且在未知威脅面前防御很弱。FireEye對(duì)未知威脅檢測(cè)率很高，部署簡(jiǎn)單，但性能較低。RSA通過(guò)大數(shù)據(jù)分析進(jìn)行檢測(cè)，理論檢測(cè)率很高，但不易于維護(hù)，對(duì)資源要求很高。啟明星辰的網(wǎng)關(guān)級(jí)APT防御方案，會(huì)首先在網(wǎng)關(guān)本地安全特征庫(kù)進(jìn)行檢測(cè)，然后進(jìn)一步在私有云中心的黑白名單進(jìn)行檢測(cè)，如果還無(wú)法確認(rèn)未知威脅，還將在沙箱里虛擬執(zhí)行，實(shí)現(xiàn)單點(diǎn)誘發(fā)全網(wǎng)實(shí)時(shí)同步獲取執(zhí)行結(jié)果。這樣一方面提高了檢測(cè)率，可以實(shí)現(xiàn)實(shí)時(shí)防御，擁有較高性能，而且易于維護(hù)。

可檢測(cè)、可阻擋是啟明星辰網(wǎng)關(guān)級(jí)APT攻擊解決方案的主要目標(biāo)，實(shí)現(xiàn)高檢測(cè)率和高性能之間的平衡。在APT攻擊第一步——充分利用合法請(qǐng)求試圖發(fā)起欺詐攻擊時(shí)，就可以在網(wǎng)關(guān)里通過(guò)特征庫(kù)進(jìn)行初步分析。當(dāng)APT攻擊試圖傳送包含0day漏洞的受信任文件時(shí)，私有云里的白名單庫(kù)將對(duì)文件信譽(yù)進(jìn)行評(píng)估。而當(dāng)APT攻擊利用0day漏洞、未知病毒木馬等多種方式進(jìn)行組合滲透并定向擴(kuò)散時(shí)，私有云里的黑名單庫(kù)和虛擬執(zhí)行可以進(jìn)行及時(shí)的發(fā)現(xiàn)。在APT攻擊的事中階段進(jìn)行發(fā)現(xiàn)并實(shí)現(xiàn)阻斷是啟明星辰的主要目標(biāo)。

傳統(tǒng)方案要進(jìn)行多點(diǎn)檢測(cè)、統(tǒng)一分析、統(tǒng)一運(yùn)維，這需要一個(gè)好的安全管理系統(tǒng)才能夠?qū)崿F(xiàn)，而且其實(shí)時(shí)決策點(diǎn)在網(wǎng)絡(luò)之外。而啟明星辰則將實(shí)時(shí)決策點(diǎn)放在了網(wǎng)絡(luò)之內(nèi)，突出實(shí)時(shí)分析的同時(shí)擁有防御能力。

啟明星辰的網(wǎng)關(guān)級(jí)APT攻擊解決方案非常強(qiáng)調(diào)“判定”，并不僅僅提供一個(gè)可參考的數(shù)據(jù)，給出結(jié)論并實(shí)施正確的防御是啟明星辰所要做到的。為了保證“判定”的準(zhǔn)確率，啟明星辰采取了多種手段，比如在私有云里就增加了相關(guān)判定機(jī)制，為“判定”提供了進(jìn)一步的保障。

啟明星辰為用戶建立的私有云防護(hù)中心可以彈性擴(kuò)展，根據(jù)防護(hù)需求進(jìn)行資源的彈性擴(kuò)展。私有云中心的環(huán)境可以通過(guò)定制完全模擬用戶的企業(yè)業(yè)務(wù)網(wǎng)絡(luò)環(huán)境，實(shí)現(xiàn)對(duì)APT攻擊更具真實(shí)性的迷惑，讓其更快露出作惡的痕跡。啟明星辰所建立的私有云檢測(cè)中心采取多種防躲避沙箱的技術(shù)，能夠?qū)崿F(xiàn)對(duì)APT類攻擊的更早發(fā)現(xiàn)。

對(duì)于APT攻擊的識(shí)別并不僅僅是簡(jiǎn)單的特征數(shù)據(jù)疊加，還需要有相關(guān)的識(shí)別判別知識(shí)，實(shí)現(xiàn)真正的Security in Knowledge才能實(shí)現(xiàn)對(duì)APT攻擊更為有效的防御。啟明星辰的網(wǎng)關(guān)級(jí)APT防御解決方案，把用戶網(wǎng)絡(luò)環(huán)境的網(wǎng)關(guān)防護(hù)提升至新的高度，為用戶提供更加值得信賴、更加穩(wěn)固的網(wǎng)絡(luò)安全解決方案。