近日在美国旧金山RSA2015展会上,华为发布了面向高级可持续威胁(Advanced Persistent Threat,APT)攻击检测的新品沙箱FireHunter。本次发布的沙箱产品,可以部署在接入层等网络的多个层面,通过还原网络流量,在一个模拟的环境中对网络中传输的文件进行检测,通过对文件在虚拟环境中安全威胁行为的判断,实现对未知的恶意文件的防护,有效弥补了传统安全设备在防护APT等攻击上的缺陷,助力企业全面提升网络安全能力,免遭未知威胁的攻击,减少企业损失。
图片说明:华为参展RSA2015
在今年的RSA大会上,创新沙盘依然是所有参会嘉宾最关注和讨论最激烈的模块,就像RSA大会主题的概括,Change:Challenge Today’s Security Thinking!(改变带来了对当今传统安全思维的挑战)。除了威胁情报管理、大数据安全分析等热门话题以外,“未知威胁检测”依然是今年RSA大会上关注的热点话题。随着互联网的发展,企业与客户之间距离拉近的同时,传统的安全架构也被瓦解, 面对新型的APT攻击,传统防御手段无能为力,将给企业造成重大的经济损失和信誉损失。
“作为APT攻击防护的桥头堡,沙箱可以有效的识别并斩断APT的攻击链。”华为交换机与企业通信产品线安全网关领域总经理刘立柱表示,“华为沙箱FireHunter可以识别20余种文件类型,6000多种常用协议,可模拟通用操作系统、办公系统、浏览器等检测,并通过静态检测和动态虚拟执行检测等技术手段完整暴露软件的各种攻击行为,有效防御以未知威胁或者采用高级逃避技术为手段的APT攻击。”
在未知威胁防御中,除了防止漏报误报等问题,最难平衡的问题是沙箱的处理性能和检测效率的问题。高效的沙箱须采用层次化的防御体系,由粗到细全面扫描恶意流量,同时保证对未知威胁的高效率响应。华为FireHunter沙箱采用的三层立体检测,第一步信誉匹配,利用每天更新的IP/C&C信誉库及文件和WEB信誉库,可以立即发现常见的威胁 ;第二步基于启发式检测,进行代码、应用程序编程接口(API)调用等进行细粒度分析;第三步基于虚拟环境执行检测,例如在虚拟的Windows,浏览器,Acrobat reader或者Microsoft Office等环境中执行,文件的各种行为会充分暴露,让0 Day攻击无所遁形,帮助企业构建完善的APT防护方案。
本次大会华为还向客户展示了其最新的云管端安全解决方案,包括云数据中心安全方案,企业园区安全方案,BYOD安全方案,LTE安全方案以及首次亮相的物联网终端安全解决方案,旨在帮助客户构建完善的安全防护体系,轻松应对日趋严重的数据安全问题。
RSA 2015于4月20日至24日在美国旧金山Moscone中心举行。华为主展台位于南馆1529号展位,欲了解更多详情,请登录http://enterprise.huawei.com/topic/RSA_2015/index.html