压在透明的玻璃上c-国产精品国产一级A片精品免费-国产精品视频网-成人黄网站18秘 免费看|www.tcsft.com

　　近幾年曝光的一些信息安全事件，使得APT（Advanced Persistent Threat，高級持續(xù)性威脅）攻擊逐漸引起業(yè)界的廣泛關(guān)注，這一被外界賦予神秘外衣的攻擊行為已在全球多個(gè)國家的政府和企業(yè)內(nèi)部發(fā)生。

　　顧名思義，所謂APT可以從高級與持續(xù)兩個(gè)方面理解，一是它有比較明確的攻擊目標(biāo)，采用多種偵查手段全方位搜集情報(bào)，并利用多種入侵技術(shù)；二是攻擊準(zhǔn)備和攻擊過程的持續(xù)時(shí)間都很長，直至達(dá)到其目的。

　　回顧過往發(fā)生過的典型APT攻擊案例，無論是RSA SecurID遭竊取攻擊，谷歌極光攻擊事件，伊朗核電站震網(wǎng)攻擊事件等等，攻擊者經(jīng)常會(huì)針對性的進(jìn)行為期幾個(gè)月甚至更長時(shí)間的潛心準(zhǔn)備，熟悉對象網(wǎng)絡(luò)壞境，搜集應(yīng)用程序與業(yè)務(wù)流程中的安全隱患，定位關(guān)鍵信息的存儲(chǔ)位置與通信方式，并最終致使用戶遭受巨大損失。

　　對于用戶來說，普遍關(guān)心的是如何有效發(fā)現(xiàn)并阻止APT攻擊，對于整個(gè)安全服務(wù)的產(chǎn)業(yè)來說，也在思考如何為客戶提供防御APT的能力。伴隨著這一攻擊行為的愈演愈烈，安全防御能力的建設(shè)過程無疑需要加快。

　　APT事件的樣本集之外

　　由于APT本身帶有高度的定向性和隱蔽性，“迄今為止，中國的網(wǎng)絡(luò)安全廠商和團(tuán)隊(duì)雖然曝光了很多漏洞，但真正就一個(gè)以中國為目標(biāo)進(jìn)行的一套作業(yè)鏈的揭示依然缺乏有效進(jìn)展。”安天實(shí)驗(yàn)室首席技術(shù)架構(gòu)師肖新光在2014中國互聯(lián)網(wǎng)安全大會(huì)上如是說。

　　對于一個(gè)傳統(tǒng)的反惡意代碼團(tuán)隊(duì)來說擁有海量的樣本集，卻往往不知道哪一個(gè)樣本集歸屬于哪個(gè)事件，如何把事件和樣本之間的關(guān)系建立起來是APT分析的關(guān)鍵之處。

　　當(dāng)然，樣本集是APT分析的一部分，而且是研究APT最有效、最直接的資源，“但我們匱乏的是它投放、回傳的過程。”肖新光說，像震網(wǎng)這樣縱深行的APT攻擊，對它分析的工作量不在樣本集上，而是在于對手場景的仿真、模擬，這個(gè)過程超出了我們現(xiàn)有的研究能力和成本。

　　也就是說，安全服務(wù)團(tuán)隊(duì)手里擁有小偷作案的痕跡，有他丟在現(xiàn)場的作案工具，卻缺少其撬鎖時(shí)的錄像或逃跑時(shí)的軌跡。

　　大數(shù)據(jù)的聯(lián)合防控

　　對安全服務(wù)團(tuán)隊(duì)的挑戰(zhàn)還體現(xiàn)在其他方面，360企業(yè)安全產(chǎn)品總監(jiān)韓志立指出，其一是APT往往具備高級逃逸技術(shù)，或者是0day等先進(jìn)方法的惡意軟件。多態(tài)和變形使安全團(tuán)隊(duì)掌握的攻擊特征總不及時(shí)，并且數(shù)以億計(jì)的規(guī)模是檢測引擎無法承載。其二，由于攻擊者具備內(nèi)網(wǎng)合法權(quán)限，無需使用攻擊手段，擊者針對現(xiàn)有監(jiān)控措施，有意識(shí)規(guī)避，致使傳統(tǒng)內(nèi)網(wǎng)檢測方案無法監(jiān)控內(nèi)網(wǎng)持續(xù)滲透。

　　從以上不難理解“沒有任何一個(gè)單獨(dú)的產(chǎn)品能夠?qū)崿F(xiàn)APT百分百的防御”這一說法。

　　所以APT防御是一個(gè)綜合的解決方案，需要在黑客的研究、滲入、數(shù)據(jù)發(fā)現(xiàn)、數(shù)據(jù)捕獲和數(shù)據(jù)傳出等階段進(jìn)行全面的防護(hù)，這樣就需要多個(gè)產(chǎn)品之間的協(xié)同配合。

　　國家信息技術(shù)安全研究中心特種技術(shù)檢測處隊(duì)長曹岳建議用大數(shù)據(jù)的聯(lián)合防控來抵御APT，對長時(shí)間、全流量數(shù)據(jù)進(jìn)行深度分析，以沙箱方式、異常檢測模式解決特征匹配的不足，將傳統(tǒng)基于實(shí)時(shí)時(shí)間點(diǎn)的檢測轉(zhuǎn)變?yōu)榛跉v史時(shí)間窗的檢測，通過流量的回溯和關(guān)聯(lián)分析發(fā)現(xiàn)APT蛛絲馬跡。

　　其中，不可缺少的是要建立專業(yè)的事件響應(yīng)團(tuán)隊(duì)，及時(shí)查看安全設(shè)備的告警信息，快速處理各種安全威脅。

　　安全情報(bào)共享 產(chǎn)業(yè)鏈合作

　　要實(shí)現(xiàn)APT的縱深防御，絕不能形成安全孤島，必須要多個(gè)安全產(chǎn)品之間相互協(xié)作。站在更高的角度看，安全廠商之間需要互通情報(bào)，協(xié)同工作。

　　眾所周知，美國建立了網(wǎng)絡(luò)安全的完善體系，原國家網(wǎng)絡(luò)信息安全技術(shù)研究所所長云曉春在互聯(lián)網(wǎng)安全大會(huì)上重點(diǎn)介紹了美國反APT的“產(chǎn)業(yè)聯(lián)盟”，無論是FireEye、Bit9、Palo Alto等都是在各自專業(yè)領(lǐng)域上的佼佼者，它們充分發(fā)揮各自優(yōu)勢、利用自身專業(yè)技術(shù)，通過安全情報(bào)的共享建立了密不透風(fēng)的一堵墻。

　　顯然，中國在技術(shù)標(biāo)準(zhǔn)、監(jiān)管體制、產(chǎn)業(yè)的聯(lián)合引導(dǎo)上還不足，產(chǎn)業(yè)的分工較為同質(zhì)與分散，只有建立廣泛的合作體系與安全框架的藍(lán)圖，加強(qiáng)產(chǎn)業(yè)鏈合作才能形成網(wǎng)絡(luò)安全尤其是APT的有效防御。