神秘的另类APT解决方案

2013年之后及未来很长一段时间，我们将面临的主要威胁除了木马之外，还包括定向攻击。大规模爆发的病毒逐渐在减少，但是我们并没有感受到越来越安全，相反，各种网络威胁变得越来越诡秘，它们的打击变得越来越定向，攻击目标也越来越多元，网络所面临的风险提升到了针对特定领域与特定机构的定向APT攻击。

主流APT解决方案对比分析

1、传统特征匹配+虚拟执行引擎。代表：Fireeye

基于行为异常的检测方法核心思想是通过沙箱（高级蜜罐）模拟运行环境，把未知程真实运行一遍，从程序工作的行为判断其合法性。

优点：判断准确性较高不易误判或漏判；

缺点：计算资源消耗比较大，部署成本较高；

2、基于白名单的终端安全检测方案。代表：Bit9

通过在公有云上部署的80亿条白名单库，对安装在用户终端上的终端软件提供注册服务，凡在白名单库里未注册过的文件均被终端禁止访问，同时其终端软件具有终端管理软件常见的属性，如移动设备控制、注册表保护等。

优点：节省了计算资源，部署成本低；

缺点：不够灵活，根据事先定义的特征，很有可能导致阻断合法应用；

3、私有云解决方案。代表：网御星云、Fortinet

网御星云私有云解决方案通过系统智能集成的海量黑白名单、规模化虚拟机动态鉴定等，对文件是否包括恶意行为进行判定，形成自动化分析报告，并与安全网关进行联动，在不影响转发性能的前提下大幅增强安全网关的检测能力。

优点：节省了安全网关的计算资源，检测准确性较高不易误判或漏判，结合网关部署方式较灵活。

私有云解决方案 Vs 极光攻击

2009-2010年,Google等20多家公司遭受了极光攻击。攻击者利用了IE的0day漏洞、十多种恶意代码和多层次的加密避免被发现。

我们还原了攻击者的攻击步骤，如下图所示：

“极光”攻击步骤

无论如何，攻击者需要一个突破点。当被渗透目标踏入攻击者设立的圈套时，IE浏览器的0day漏洞被恶意代码利用，下载攻击者精心构造的、可以轻松骗过杀毒引擎的程序。

以前，传统网关、杀毒软件在检测该恶意程序时，多是特征扫描；而攻击被发现之前安全厂商又不可能获取样本，更不可能将该恶意程序的特征更新到威胁特征库中（事实上直到2010年1月份，Google公开了此事后特征才被众多厂家获取），安全防范总是滞后的。

如果我们在网络中使用了网御星云私有云解决方案，结果又会如何呢？

首先我们在网络传输过程中由安全网关捕获到了该程序，经过安全网关本地初步判断，无法确定该程序就是安全的。接下来将该程序送到私有云防御中心，进行动态行为分析。

观察该程序的所有行为，其中至少有三个行为是高度可疑的：

1、连续下载加密的程序；

2、删除自身；

3、构建后门，发起反向连接。

新下载的加密程序仍会运行起来进行动态行为分析，其中有很多特殊的行为都存在危害性，如释放PE文件、获取敏感信息、隐藏文件、添加服务等。通过将分析结果与安全网关联动，足以引起管理员的重视，从而将威胁消灭在初始阶段。