擒拿“潜伏之王”——APT防御之术解读

　　在现有的网络犯罪中，高持续性威胁(APT)是最“狡猾”的一个，为了达成最终的商业或政治目的，不惜“潜伏”数月甚至数年时间——“下一盘很大的棋”。APT往往能绕过基于特征代码的传统安全方案(如防病毒软件、防火墙、IPS等)，并更长时间地潜伏在系统中，让传统防御体系难以侦测。“潜伏性和持续性”是APT攻击最大的威胁。

　　在拥有明确的目标和极强的“耐心”之余，APT又拥有多种多样的攻击方式和入侵途径，除了传统的网络攻击方式，APT还将广泛普及的智能手机、平板电脑和USB等移动设备为目标和攻击对象。此外，社交工程也是常用的行之有效的手段之一，被称为“世界头号黑客”的凯文·米特尼克就是一个社交工程高手。

　　对于商业组织和政府来说，APT攻击极难发觉，潜在危害却极大，寻找有效的防御APT攻击的方法成为这些机构面临的难题。针对APT攻击的特点，国内外的安全服务提供商根据自身的技术特点，推出了不同的APT解决方案。近日，启明星辰(002439,股吧)推出网关级的私有云解决方案，趋势科技和山石网科也共同推出了“威胁侦测+防火墙阻断”的联合解决方案，为APT防御提供了新的思路。而在此之前，根据公开的信息，主流APT解决方案主要包括两大类：

　　1、传统特征匹配+虚拟执行引擎。代表：Fireeye

　　基于行为异常的检测方法，核心思想是通过沙箱（高级蜜罐）模拟运行环境，把未知程序真实运行一遍，从程序工作的行为判断其合法性。

　　优点：判断准确性较高不易误判或漏判；

　　缺点：计算资源消耗比较大，部署成本较高。

　　2、基于白名单的终端安全检测方案。代表：Bit9

　　通过在公有云上部署的80亿条白名单库，对安装在用户终端上的终端软件提供注册服务，凡在白名单库里未注册过的文件均被终端禁止访问，同时其终端软件具有终端管理软件常见的属性，如移动设备控制、注册表保护等。

　　优点：节省了计算资源，部署成本低；

　　缺点：不够灵活，根据事先定义的特征，很有可能导致阻断合法应用。

　　简言之，启明星辰的私有云解决方案可以理解为将上述两种模式结合和改进，将未知威胁检测和网关策略实时联动，并利用云计算的方式部署；而趋势科技和山石网科的联合解决方案则是“结合+传统部署”的模式。从核心理念来看，这两种方案并没有本质区别。

　　启明星辰网关级私有云解决方案

　　启明星辰私有云解决方案通过系统智能集成的海量黑白名单、规模化虚拟机动态鉴定等，对文件是否包括恶意行为进行判定，形成自动化分析报告，并与安全网关进行联动，在不影响转发性能的前提下大幅增强安全网关的检测能力。优点是节省了安全网关的计算资源，检测准确性较高不易误判或漏判，结合网关部署方式较灵活，同样采用此类方案的还有Fortinet。

　　主动云防御的概念出现在2010年，核心思想是利用云服务实时收集各个安全设备的威胁信息，并将共享的信息动态同步给其他安全设备。但是主动云防御面临几个问题：云服务器自身安全受到未知威胁挑战；受公有云同步机制的限制，局域网中的安全设备无法参与主动云防御；若要实现大范围的覆盖，则会产生高昂的运行成本。诸多问题的存在导致主动云防御在实际环境中的运用效果并不理想。

　　改进方案：私有云传承自主动云防御。私有云是通过一套应对已知/未知恶意代码攻击、0day/1day漏洞等攻击的鉴别系统与若干网关设备联动实现的，属于网关级的高级安全防御方案。私有云解决方案利用文件黑名单、恶意代码静态检测、虚拟加载执行、动态监测多种组合方式对可能用于攻击的文件进行深度安全分析，检测0day格式溢出以应对高级安全威胁，深度提取可执行样本，并对未知威胁进行判别，同时将分析结果同步至联动的安全网关，最终由安全网关策略实现访问控制并提供详细的行为报告。

　　私有云防护解决方案通过安全网关与云中心联动、安全网关与安全网关之间信息共享实现全网动态防御。

　　趋势科技&山石网科联合解决方案

　　联合解决方案是趋势科技TDA威胁发现设备与山石网科M系列防火墙智能整合形成的一体化APT防御平台，实现“威胁识别—威胁预警—威胁阻止”的自动处理过程。

　　在具体应用中，趋势科技TDA威胁发现设备独有的侦测和关联引擎，更精确快速地检测出来自不同攻击源的威胁，并在第一时间预警。同时，这些威胁分析数据将自动添加到山石网科M系列防火墙中，智能的切断恶意代码在内外部之间的联系。而在易用性方面，双方集成了在可视化管理的最新研究成果，如：山石网科的接入可视化、应用可视化，TDA的监控可视化，直观化的数据报表，可按需求集成多种安全工具，让企业轻松应对复杂网络环境中的各种威胁，保障自身系统的安全，降低平台的管理成本。

　　联合解决方案的优势体现在各自高水准的产品上，趋势科技TDA威胁发现设备在NSS labs的测试中，以整体入侵侦测率最高和零误判的成绩优于其他厂商，处于威胁侦测细分市场的领先位置；而山石网科则入围Gartner 2014年企业级防火墙魔力象限，在网络安全技术领域极具前瞻性。

　　侦测未知威胁

　　是防御APT攻击的关键

　　从上面两个解决方案可以看出APT防御的基本思路：发现潜伏的威胁，然后在网络上阻断有风险的连接。其中，侦测未知威胁是整个过程的关键，需要用到沙箱技术。

　　可以看出，两个解决方案均使用了这种动态模拟分析技术，利用虚拟化环境来侦测恶意程序的行为。通过沙箱可发现电子邮件附件、共享文件或网站中的异常，把任何可疑的东西标注出来；在虚拟环境中测试嫌疑程序，以便进一步确认。

　　运用沙箱技术的难点在于对沙箱的行为进行分析，判断哪些是恶意程序，以及辨识出新的攻击手法。不仅需要对执行层进行过滤，更要对APT攻击主要涉及的文件层进行过滤，需要一套专业的模拟环境去进行检测。

　　另外，大数据分析被公认为是防御APT攻击的“核武器”。RSA提出使用虚拟监控，利用虚拟化平台搜集数据并进行分析。尽管数据量越大对处理平台要求越高，但对于发现任何蛛丝马迹的帮助也越大。如果能建立全球化的数据分析引擎，在全球范围内进行相关数据的关联性分析，就可以克服信息分布孤岛带来的调查取证难的问题，更容易发现攻击。虽然一个企业或者一方政府在全球范围内进行数据关联性分析的可能性不大，但数据范围越大意味着布设的“眼睛”越多，这是揪出那个“潜伏者”的最好方法。