科来:云计算时代 APT防御面临新挑战

云计算
科来自主研发了一套完整APT解决方案,分为前端、分析中心和后台,涵盖了异常流量分析、动态分析和全流量回溯分析的技术。

近年来,随着互联网技术的发展,以“虚拟化技术”和“高速网络”发展为基石的云计算被视为未来互联网时代发展的重要变革。随着云计算技术的逐渐落地,网民在互联网上面临的安全问题越来越严峻,云计算的程度越高,以往针对个人的分散式攻击变得越来越没有效率,黑客一定会聚焦于云计算平台,施以专注、专业的APT攻击,以期获取最大量、最核心的机密数据,从而造成最大的破坏,或获得最大的利益。更有国外媒体大胆预测,云计算技术一旦普及,基于客户端的安全问题就不会再存在太大问题,我们更多的应该关注云平台、数据中心、DMZ、服务器区等APT攻击的聚集点。

与APT攻击的专业性和复杂度相对应,企业对其的防范非常困难。黑客在暗中通过社会工程学等手段收集大量信息,而被攻击者毫不知情。由此造成的信息不对称造成了对APT攻击的防御难点。

就目前对APT攻击的防御现状来看,传统的安全软件多以防范病毒和木马为主,无法有效防范漏洞攻击。只有当漏洞被黑客大规模攻击时,安全厂商才有机会监测到漏洞。而传统的防火墙、入侵检测、安全网关、杀毒软件和反垃圾邮件系统等检测技术也主要是网络边界和主机边界进行检测,它们均缺乏对未知攻击的检测能力和对流量的深度分析能力。这种滞后响应的方式已经无法适应新的安全形势。

APT防御困局如何破解?

据科来介绍,利用0day漏洞进行的APT攻击,是非常难防御的未知攻击,虽然防御难度高,但业界公认的动态检测技术,是一种有效的防御手段,可以通过执行样本来观察其所有行为,检测是否含有恶意的APT攻击代码。但是高级木马会主动匹配目标主机环境,只有环境匹配才可能诱导样本的木马行为。但这一技术也有不足之处:有些高级木马具备多种逃逸技术,甚至会通过是否具有人工动作判断是否为虚拟机,避免暴露自己。所以动态检测技术的优劣还在于防木马的逃逸检测能力,不被木马检测是关键。所以基于硬件指令模拟技术,是一种更好的检测对抗技术,据了解这也是Fire eye采用的技术,而目前国内只有科来在应用该项技术。

然而,对于APT防御,动态检测只是对抗恶意代码或样本的攻击阶段,对于攻击前和攻击后的行为分析,则需要有异常流量的检测技术和全流量审计的回查技术来配合。木马攻击成功后,潜伏下来后会通过隐蔽信道技术躲避检查,心跳数据非常少,甚至加密,混在大量的流量里,要辨别非常困难,犹如大海捞针。这就需要有非常精确的应用和协议鉴别技术,通过建立异常行为模型可在一定程度上解决问题,也就是异常流量检测技术。据科来介绍,无论攻击者如何隐藏,只要通过网络传输,必然会产生相应数据,所以全流量的安全审计是APT安全检测中必不可少的技术,企业只有做到全流量数据记录,同时对网络数据进行深度分析,并建立企业私有云,才能做到发现追踪取证防御APT。

科来APT防御解决方案及思路

基于以上思路,科来自主研发了一套完整APT解决方案,分为前端、分析中心和后台,涵盖了异常流量分析、动态分析和全流量回溯分析的技术。

用户可以凭借异常流量和动态分析技术发现网络的异常和未知的高危文件型木马,使用全流量记录设备--回溯系统来调取攻击数据进行数据包级的分析,系统还具有阻断功能,可以阻断高危的会话和域名访问,保护内部用户,做到及时的止损。这样使得APT解决方案从异常发现到取证和阻断能够形成一个闭环的工作模式。

 作为一种有针对性的攻击手段,APT在未发动攻击时很难被察觉到,也很难像木马、病毒等被扫秒出来,因此对于用户来说,即使是试用了APT防御解决方案,也很难实际感受到其优劣和带来的价值,但一旦出现问题带来的影响是空前巨大的。因此,除了部署APT防御解决方案,科来同时也为企业提出了以下几条APT攻击防御建议:

1、在思想上企业的安全部门要高度重视,不要认为APT攻击离自己很遥远。

2、在APT攻击的目标锁定和信息采集阶段,从技术上难以防范,需要从管理制度上进行防御。而在APT攻击的渗透阶段,可以通过硬件模拟动态分析技术、黑白名单、异常流量检测、全流量审计技术、大数据分析等手段实施防御,这就涉及到了对未知攻击的检测能力和对流量的深度分析能力。而此时,科来的APT完整解决方案便成为企业可以选择的多维防御方案。

APT防御形式严峻任重道远

在网络空间日益被重视的今天,APT攻击已经是国家网络空间对抗的一种手段,并且已不可避免,以美国为首的五只眼,联合更多国家的全球信息监控,会进一步推动全球各国重视网络空间对抗。

APT攻击是国家网络对抗的主要方式之一,我们需要借鉴美国在网络安全方面的投入和规划。但是,我们面对APT攻击防护起来难度要远高于美国,因为美国掌握了大量的网络资源和网络技术,如根域名服务器、操作系统、芯片、交换机、路由器等,我们要建立的防御体系,不仅仅只是恶意代码的动态检测或是是在传统安全产品上稍作改动的下一代安全产品,而是需要具备像Fireeye等国外安全企业那样有效的APT检测手段,同时具备对数据的追溯回查能力,做到对APT攻击的发现、追踪、取证和防御。

 
责任编辑:鸢玮 来源: 科来软件
点赞
收藏

51CTO技术栈公众号