APT防御困局如何破解?APT防御形式严峻任重道远

近年来,随着互联网技术的发展,以“虚拟化技术”和“高速网络”发展为基石的云计算被视为未来互联网时代发展的重要变革。随着云计算技术的逐渐落地,网民在互联网上面临的安全问题越来越严峻,云计算的程度越高,以往针对个人的分散式攻击变得越来越没有效率,黑客一定会聚焦于云计算平台,施以专注、专业的APT攻击,以期获取最大量、最核心的机密数据,从而造成最大的破坏,或获得最大的利益。更有国外媒体大胆预测,云计算技术一旦普及,基于客户端的安全问题就不会再存在太大问题,我们更多的应该关注云平台、数据中心、DMZ、服务器区等APT攻击的聚集点。

与APT攻击的专业性和复杂度相对应,企业对其的防范非常困难。黑客在暗中通过社会工程学等手段收集大量信息,而被攻击者毫不知情。由此造成的信息不对称造成了对APT攻击的防御难点。

就目前对APT攻击的防御现状来看,传统的安全软件多以防范病毒和木马为主,无法有效防范漏洞攻击。只有当漏洞被黑客大规模攻击时,安全厂商才有机会监测到漏洞。而传统的防火墙、入侵检测、安全网关、杀毒软件和反垃圾邮件系统等检测技术也主要是网络边界和主机边界进行检测,它们均缺乏对未知攻击的检测能力和对流量的深度分析能力。这种滞后响应的方式已经无法适应新的安全形势。

APT防御困局如何破解?

据科来介绍,利用0day漏洞进行的APT攻击,是非常难防御的未知攻击,虽然防御难度高,但业界公认的动态检测技术,是一种有效的防御手段,可以通过执行样本来观察其所有行为,检测是否含有恶意的APT攻击代码。但是高级木马会主动匹配目标主机环境,只有环境匹配才可能诱导样本的木马行为。但这一技术也有不足之处:有些高级木马具备多种逃逸技术,甚至会通过是否具有人工动作判断是否为虚拟机,避免暴露自己。所以动态检测技术的优劣还在于防木马的逃逸检测能力,不被木马检测是关键。所以基于硬件指令模拟技术,是一种更好的检测对抗技术,据了解这也是Fire eye采用的技术,而目前国内只有科来在应用该项技术。

然而,对于APT防御,动态检测只是对抗恶意代码或样本的攻击阶段,对于攻击前和攻击后的行为分析,则需要有异常流量的检测技术和全流量审计的回查技术来配合。木马攻击成功后,潜伏下来后会通过隐蔽信道技术躲避检查,心跳数据非常少,甚至加密,混在大量的流量里,要辨别非常困难,犹如大海捞针。这就需要有非常精确的应用和协议鉴别技术,通过建立异常行为模型可在一定程度上解决问题,也就是异常流量检测技术。据科来介绍,无论攻击者如何隐藏,只要通过网络传输,必然会产生相应数据,所以全流量的安全审计是APT安全检测中必不可少的技术,企业只有做到全流量数据记录,同时对网络数据进行深度分析,并建立企业私有云,才能做到发现追踪取证防御APT。

科来APT防御解决方案及思路

基于以上思路,科来自主研发了一套完整APT解决方案,分为前端、分析中心和后台,涵盖了异常流量分析、动态分析和全流量回溯分析的技术。

用户可以凭借异常流量和动态分析技术发现网络的异常和未知的高危文件型木马,使用全流量记录设备--回溯系统来调取攻击数据进行数据包级的分析,系统还具有阻断功能,可以阻断高危的会话和域名访问,保护内部用户,做到及时的止损。这样使得APT解决方案从异常发现到取证和阻断能够形成一个闭环的工作模式。

作为一种有针对性的攻击手段,APT在未发动攻击时很难被察觉到,也很难像木马、病毒等被扫秒出来,因此对于用户来说,即使是试用了APT防御解决方案,也很难实际感受到其优劣和带来的价值,但一旦出现问题带来的影响是空前巨大的。因此,除了部署APT防御解决方案,科来同时也为企业提出了以下几条APT攻击防御建议:

1、在思想上企业的安全部门要高度重视,不要认为APT攻击离自己很遥远。

2、在APT攻击的目标锁定和信息采集阶段,从技术上难以防范,需要从管理制度上进行防御。而在APT攻击的渗透阶段,可以通过硬件模拟动态分析技术、黑白名单、异常流量检测、全流量审计技术、大数据分析等手段实施防御,这就涉及到了对未知攻击的检测能力和对流量的深度分析能力。而此时,科来的APT完整解决方案便成为企业可以选择的多维防御方案。

APT防御形式严峻任重道远

在网络空间日益被重视的今天,APT攻击已经是国家网络空间对抗的一种手段,并且已不可避免,以美国为首的五只眼,联合更多国家的全球信息监控,会进一步推动全球各国重视网络空间对抗。

APT攻击是国家网络对抗的主要方式之一,我们需要借鉴美国在网络安全方面的投入和规划。但是,我们面对APT攻击防护起来难度要远高于美国,因为美国掌握了大量的网络资源和网络技术,如根域名服务器、操作系统、芯片、交换机、路由器等,我们要建立的防御体系,不仅仅只是恶意代码的动态检测或是是在传统安全产品上稍作改动的下一代安全产品,而是需要具备像Fireeye等国外安全企业那样有效的APT检测手段,同时具备对数据的追溯回查能力,做到对APT攻击的发现、追踪、取证和防御。

时间: 2024-10-22 14:07:41

APT防御困局如何破解?APT防御形式严峻任重道远的相关文章

2015中国APT研究报告:中国是APT攻击的主要受害国

一.针对中国发动攻击的APT组织 360天眼实验室于近期发布了<2015年中国高级持续性威胁(APT)研究报告>,揭示了针对我国的APT攻击技术演变趋势.根据报告显示,中国是APT(Advanced Persistent Threats,高级持续性威胁)攻击的主要受害国,国内多个省.市受到不同程度的影响,其中北京.广东是重灾区,行业上教育科研.政府机构是APT攻击的重点关注领域. 截至2015年11月底,360威胁情报中心监测到的针对中国境内科研教育.政府机构等组织单位发动APT攻击的境内外黑

下一代防火墙(NGFW)如何防御APT攻击?

本文讲的是下一代防火墙(NGFW)如何防御APT攻击,今日企业的网络安全正在面临前所未有的挑战,这主要来自于有组织.有特定目标.隐蔽性强.破坏力大.持续时间长的新型攻击和威胁,国际上称之为APT(Advanced Persistent Threat)攻击.随着iPad.智能手机等移动终端被广泛应用于企业,而基于移动设备的威胁呈几何倍数的增长,对终端防护更加处于失控的状态,APT 攻击者通过以智能手机.平板电脑等移动设备为跳板继而入侵企业信息系统的方式也显著增加. 分析APT攻击的过程,我们发现从

启明星辰发布国内首个网关级APT防御解决方案

2014年7月3日北京消息 今天安全厂商启明星辰在京发布了国内首个网关级APT防御解决方案­­--私有云防护.这套解决方案通过应对已知/未知恶意代码攻击.0day/1day漏洞等攻击的鉴别系统,与若干网关设备联动实现,属于网关级高级安全防御解决方案.498)this.w idth=498;' onmousewheel = 'javascript:return big(this)' src="http://s3.51cto.com/wyfs02/M00/39/3A/wKiom1O2UXKADTb4

基于云计算安全的APT防御

近年来,互联网技术的迅猛发展,网络的依赖性逐年增强,而云计算以及云计算安全自然成为研究焦点.云计算安全能让人们享受到来自网络的安全服务,而云计算的充分利用,则需要云计算的安全防御作为保障.网络中的APT攻击,也促使APT防御的研究不断推进. 1 云计算安全现状 传统的IT系统是封闭的,由各个独立的部门所控制;而在云计算安全中,所有的数据.IT基础设施和网络架构等均暴露在云中,其周边环境无法控制;另外,云计算系统运用虚拟化技术也带来诸多不利因素. 网络方面,首先,在云计算中,其环境没有拓扑边界,多

《请君入瓮——APT攻防指南之兵不厌诈》—第8章8.2节基于主机的工具

8.2 基于主机的工具 请君入瓮--APT攻防指南之兵不厌诈 最简单形式的基于主机安全的控制措施是监控独立主机(应用程序)的运行状态.通过对系统监控可以发现是否有恶意文件执行,是否有应用程序尝试修改某些文件,以及发现许多可能属于恶意类别的行为.高级一些的措施则是使用基于主机的安全控制手段,包括使用高级应用程序白名单,其本质是告诉计算机哪些程序可以运行. 如果能够合理设计和部署,这些工具可以用于防御持续性威胁.但一个不能忽略的重要因素是,基于主机的安全技术并不是消除网络顽疾的灵丹妙药.它们只是提升

《网络空间欺骗:构筑欺骗防御的科学基石》一2.4.2 策划欺骗

2.4.2 策划欺骗 本文讲的是网络空间欺骗:构筑欺骗防御的科学基石一2.4.2 策划欺骗,策划一个成功的以欺骗为基础的防御组件有6个基本步骤来.第一步,经常被忽视,是确定防御者想要达到的战略目标.简单地增加一个包含类"蜂蜜"成分(如蜜罐和蜜文 件)的计算机系统,给我们一种正在用欺骗手段骗恶意敌手的错觉.准确描述基于欺骗的机制的目标是什么必不可少.例如,以捕获恶意软件为目的简单设置一个蜜罐与利用蜜罐监控类APT攻击是明显不同的. 指定欺骗过程中的战略目标后,需要确定--框架中的第二步-

这家公司APT实时检测准确率高达98.8%

本文讲的是 这家公司APT实时检测准确率高达98.8%,独立测试机构AV-TEST研究所报告指出,每天出现的新恶意软件变种大约在39万个左右.杀软巨头赛门铁克则称此数字应该是100万个左右,而且这些都是尚未记录在案的新型恶意软件. 即使我们选择相信较小数字的估测,情况也是不容乐观的.尤其是这些新恶意软件指的是高级持续性威胁(APT)的时候.APT是病毒和恶意软件最复杂的变种,我们今日所用的很多网络安全技术完全检测不出.甚至安全专家都告诉公司企业,不用考虑攻击是否成功,因为那是一定的,只需要准备好

《请君入瓮——APT攻防指南之兵不厌诈》目录—导读

版权声明 请君入瓮--APT攻防指南之兵不厌诈 Sean Bodmer, Dr. Max Kilger, Gregory Carpenter and Jade Jones Reverse Deception: Organized Cyber Threat Counter-Exploitation ISBN:978-0071772495 Copyright 2012by McGraw-Hill Education. All Rights reserved. No part of this publ

APT和钓鱼攻击 企业安全面临的两大威胁

今天,在移动为先.云计算为先的世界里,不法黑客正变得越来越智能化.根据国外机构提供的2015年数据泄露调查报告发现,在60%的情况下,攻击者能够在几分钟之内便搞定一家企业的网络入侵.那么,当下的企业都面临着哪些方面的网络安全威胁呢? 随着企业网络安全环境的日益恶化,安全防护已不容忽视. 从企业外部来看,工业间谍活动是一直是企业网络安全的巨大威胁.其中,高级持续性威胁(Advanced Persistent Threats,APT)仍旧是目前企业安全面临的关键威胁之一.所谓APT攻击是常常对特定目