神秘的另類APT解決方案
責編:admin |2014-07-02 13:58:362013年之后及未來很長一段時間,我們將面臨的主要威脅除了木馬之外,還包括定向攻擊。大規模爆發的病毒逐漸在減少,但是我們并沒有感受到越來越安全,相反,各種網絡威脅變得越來越詭秘,它們的打擊變得越來越定向,攻擊目標也越來越多元,網絡所面臨的風險提升到了針對特定領域與特定機構的定向APT攻擊。
主流APT解決方案對比分析
1、傳統特征匹配+虛擬執行引擎。代表:Fireeye
基于行為異常的檢測方法核心思想是通過沙箱(高級蜜罐)模擬運行環境,把未知程真實運行一遍,從程序工作的行為判斷其合法性。
優點:判斷準確性較高不易誤判或漏判;
缺點:計算資源消耗比較大,部署成本較高;
2、基于白名單的終端安全檢測方案。代表:Bit9
通過在公有云上部署的80億條白名單庫,對安裝在用戶終端上的終端軟件提供注冊服務,凡在白名單庫里未注冊過的文件均被終端禁止訪問,同時其終端軟件具有終端管理軟件常見的屬性,如移動設備控制、注冊表保護等。
優點:節省了計算資源,部署成本低;
缺點:不夠靈活,根據事先定義的特征,很有可能導致阻斷合法應用;
3、私有云解決方案。代表:網御星云、Fortinet
網御星云私有云解決方案通過系統智能集成的海量黑白名單、規模化虛擬機動態鑒定等,對文件是否包括惡意行為進行判定,形成自動化分析報告,并與安全網關進行聯動,在不影響轉發性能的前提下大幅增強安全網關的檢測能力。
優點:節省了安全網關的計算資源,檢測準確性較高不易誤判或漏判,結合網關部署方式較靈活。
私有云解決方案 Vs 極光攻擊
2009-2010年,Google等20多家公司遭受了極光攻擊。攻擊者利用了IE的0day漏洞、十多種惡意代碼和多層次的加密避免被發現。
無論如何,攻擊者需要一個突破點。當被滲透目標踏入攻擊者設立的圈套時,IE瀏覽器的0day漏洞被惡意代碼利用,下載攻擊者精心構造的、可以輕松騙過殺毒引擎的程序。
以前,傳統網關、殺毒軟件在檢測該惡意程序時,多是特征掃描;而攻擊被發現之前安全廠商又不可能獲取樣本,更不可能將該惡意程序的特征更新到威脅特征庫中(事實上直到2010年1月份,Google公開了此事后特征才被眾多廠家獲取),安全防范總是滯后的。
如果我們在網絡中使用了網御星云私有云解決方案,結果又會如何呢?
首先我們在網絡傳輸過程中由安全網關捕獲到了該程序,經過安全網關本地初步判斷,無法確定該程序就是安全的。接下來將該程序送到私有云防御中心,進行動態行為分析。
觀察該程序的所有行為,其中至少有三個行為是高度可疑的:
1、連續下載加密的程序;
2、刪除自身;
3、構建后門,發起反向連接。
新下載的加密程序仍會運行起來進行動態行為分析,其中有很多特殊的行為都存在危害性,如釋放PE文件、獲取敏感信息、隱藏文件、添加服務等。通過將分析結果與安全網關聯動,足以引起管理員的重視,從而將威脅消滅在初始階段。