從網關開始抵御APT攻擊
責編:admin |2014-08-19 15:43:42據統計,2013年1-6月新增木馬月均上億,其中未知木馬增幅明顯。在安全漏洞方面,零日漏洞占比居高不下。威脅防御難度正在以指數速度增長,安全威脅在變得愈發復雜,需要實現綜合的安全防御。APT類攻擊主要是未知威脅,其所采用獨特的攻擊方式和手段,使得傳統依靠特征庫的網關產品已經不適合于對APT形成有效防御。面對新安全形勢下的新威脅,傳統安全防護設備亟需做出調整和升級。
APT攻擊主要面向政府機構、重要信息部門、高新技術單位等,震網病毒、火焰病毒、紅色十月……APT攻擊正在亮出其鋒利的獠牙。據統計,震網病毒拖后了伊朗核計劃達兩年之久。火焰病毒同樣利用未知漏洞感染主機,進而感染全網,記錄鍵盤操作、屏幕信息,甚至進行錄音,在獲取機密數據后,其還會將其自身銷毀。來無蹤去無影是APT類攻擊所最求的最高境界,但這對于安全防御者而言則不是一個好消息。因為當APT類攻擊被發現時,往往攻擊可能已經達成目的。
安全專家認為,APT攻擊的解決思路主要有,主機應用保護、網絡入侵檢測、數據防泄密、大數據分析審計、網關惡意代碼檢測等。
Bit9就是通過白名單比對機制發現惡意程序,這種方式容易部署、維護、快速,但檢測率完全依靠于白名單的數量,而且在未知威脅面前防御很弱。FireEye對未知威脅檢測率很高,部署簡單,但性能較低。RSA通過大數據分析進行檢測,理論檢測率很高,但不易于維護,對資源要求很高。啟明星辰的網關級APT防御方案,會首先在網關本地安全特征庫進行檢測,然后進一步在私有云中心的黑白名單進行檢測,如果還無法確認未知威脅,還將在沙箱里虛擬執行,實現單點誘發全網實時同步獲取執行結果。這樣一方面提高了檢測率,可以實現實時防御,擁有較高性能,而且易于維護。
可檢測、可阻擋是啟明星辰網關級APT攻擊解決方案的主要目標,實現高檢測率和高性能之間的平衡。在APT攻擊第一步——充分利用合法請求試圖發起欺詐攻擊時,就可以在網關里通過特征庫進行初步分析。當APT攻擊試圖傳送包含0day漏洞的受信任文件時,私有云里的白名單庫將對文件信譽進行評估。而當APT攻擊利用0day漏洞、未知病毒木馬等多種方式進行組合滲透并定向擴散時,私有云里的黑名單庫和虛擬執行可以進行及時的發現。在APT攻擊的事中階段進行發現并實現阻斷是啟明星辰的主要目標。
傳統方案要進行多點檢測、統一分析、統一運維,這需要一個好的安全管理系統才能夠實現,而且其實時決策點在網絡之外。而啟明星辰則將實時決策點放在了網絡之內,突出實時分析的同時擁有防御能力。
啟明星辰的網關級APT攻擊解決方案非常強調“判定”,并不僅僅提供一個可參考的數據,給出結論并實施正確的防御是啟明星辰所要做到的。為了保證“判定”的準確率,啟明星辰采取了多種手段,比如在私有云里就增加了相關判定機制,為“判定”提供了進一步的保障。
啟明星辰為用戶建立的私有云防護中心可以彈性擴展,根據防護需求進行資源的彈性擴展。私有云中心的環境可以通過定制完全模擬用戶的企業業務網絡環境,實現對APT攻擊更具真實性的迷惑,讓其更快露出作惡的痕跡。啟明星辰所建立的私有云檢測中心采取多種防躲避沙箱的技術,能夠實現對APT類攻擊的更早發現。
對于APT攻擊的識別并不僅僅是簡單的特征數據疊加,還需要有相關的識別判別知識,實現真正的Security in Knowledge才能實現對APT攻擊更為有效的防御。啟明星辰的網關級APT防御解決方案,把用戶網絡環境的網關防護提升至新的高度,為用戶提供更加值得信賴、更加穩固的網絡安全解決方案。