扫一扫
分享文章到微信
扫一扫
关注官方公众号
至顶头条
近年来,网络空间的安全形势发生了巨大改变, APT攻击增长趋势呈指数级发展,并逐渐演变成了各种社会工程学攻击与各类0day漏洞利用的综合体,成为最具威胁的网络攻击方式。
面对APT 传统安全体系面临防御之困
与过去主要来自病毒和木马的安全威胁不同,APT攻击破坏性之大、隐蔽性之强等特性,让如今企业所面临的网络安全风险愈加复杂。与此同时,以APT攻击为代表的未知威胁非常容易击穿传统技术手段组成的网络安全防御体系,其威胁远远大于普通的木马病毒。
在专注于网络分析技术研究与产品开发的科来看来,利用各种系统漏洞或软件漏洞进行渗透的恶意代码已成为目前APT攻击的主要手段,而利用或盗用合法的认证签名,利用浏览器漏洞和水坑攻击将替代邮件攻击将成为APT攻击发展的趋势,与此同时,攻击者也更注重对沙盒的反检测技术,从而躲避安全厂商的动态检测技术。
而就目前对APT攻击的防御现状来看,传统的安全软件多以防范病毒和木马为主,无法有效防范漏洞攻击。只有当漏洞被黑客大规模攻击时,安全厂商才有机会监测到漏洞。而传统的防火墙、入侵检测、安全网关、杀毒软件和反垃圾邮件系统等检测技术也主要是网络边界和主机边界进行检测,它们均缺乏对未知攻击的检测能力和对流量的深度分析能力。这种滞后响应的方式已经无法适应新的安全形势。
APT攻击来袭如何应对?
科来认为,对APT攻击的防御与传统的安全防护理念有所不同, APT攻防是一个对抗的过程,攻防双方都在不断更新自己的技术手段。而发展至今,应对APT的手段也是多种多样:黑白名单、动态检测技术、大数据分析、全流量数据审计等是目前应用较多的防御方式。
但从安全角度来说,某一种防御技术或在某一阶段设置安全策略的效果是有限的。科来指出,防御APT攻击,最重要的是要在事前事后都做好应对方案。在以上众多的APT防御手段中,动态检测技术是目前一种较为有效的检测手段,其可以记录样本运行后的所有行为,以此判断出是否是恶意的APT攻击代码。但这一技术也有其不足之处:有些高级的木马会做虚拟机检查,如果发现是虚拟机,则不会执行攻击行为,避免暴露自己。因此,动态检测技术也不是万能的,虚拟机环境不匹配,也无法诱导木马的攻击行为。
由此,基于此硬件模拟的虚拟化动态检测技术应运而生,其能够模拟硬件的所有指令,让木马无法检测是一个虚拟环境,具有防木马反检测的能力。据了解这也是Fire eye采用的技术,而目前国内只有科来在应用该项技术。
但对APT攻击的防御绝非如此简单,科来强调:对于APT攻击而言,没有百分之百的安全防护手段,在攻击成功后,用户还必须转变思维,做到快速发现威胁,快速响应威胁,以实现发现防御APT。对此,科来研发了一套防御APT方案和思路。
具体而言,在虚拟化动态检测技术应用之后,从流量中便无法再获得攻击样本,木马会通过隐蔽信道技术,通过加密或躲到正常通讯里进行C&C通讯,为了躲避检测,通讯数据量非常少,要想区分这些数据如大海捞针。可正是因为想隐藏才会产生可疑的行为数据,此时通过建立异常行为模型,用异常流量检测技术来发现分析隐藏在正常通讯中的特殊编码、心跳等数据,为进一步取证分析提供线索。
然而,智者千虑难免一失。除了以上手段,全流量安全审计也是APT分析的重要保障,亦是对未知攻击分析取证的必要手段。无论攻击者如何隐藏,只要攻击通过网络,必然会产生相应数据,企业只有做到全流量数据记录,同时对网络数据进行深度分析,并建立企业私有云,才能做到发现追踪取证防御APT。
科来APT防御解决方案及思路
基于以上思路,科来开发了一套完整的APT防御解决方案,分为前端、分析中心和后台,涵盖了异常流量分析、动态分析和全流量回溯分析的技术。
在这套方案中,用户可以凭借异常流量和动态分析技术发现网络的异常和未知的高危文件型木马,使用全流量记录设备--回溯系统来调取攻击数据进行数据包级的分析。同时,该系统还具有阻断功能,可以阻断高危的会话和域名访问,保护内部用户,做到及时的止损。这样,便使得APT解决方案从异常发现到取证和阻断能够形成一个闭环的工作模式。
具体而言,这套APT攻击解决方案的优势在于:
1、该解决方案采用分布式部署、集中管理,为用户搭建私有安全云的管理平台,更符合国内对安全管理的需求。
2、基于硬件模拟的动态分析技术,更能应对不断升级的木马反检测技术;且具备更强大的处理性能,科来单台分析后台能为用户提供同时并发运行40个虚拟机进行恶意样本检查,处理样本的能力是普通的8-10倍。
3、基于行为异常的流量检测技术贯穿于整个解决方案,能够同时对攻击前、中、后的流量进行深入检查,发现有效的APT攻击线索。
4、全流量数据审计,是APT分析的重要保障,也是对未知攻击分析取证的必要手段,科来海量数据的回溯分析能力,1TB数据的检索时间低于3秒钟,并可进行多维度关联分析,准确快速确定潜在威胁,并全面评估事件的危害。
作为一种有针对性的攻击手段,APT在平时很难被察觉到,也很难像木马、病毒等被扫描出来,因此对于用户来说,即使是使用了APT防御解决方案,也很难实际感受到其优劣和带来的价值。但无数的APT攻击案例告诉我们,对于用户而言,一旦APT攻击实施成功,其对企业带来的影响是空前巨大的。因此,除了部署APT攻击防御解决方案,科来同时也为企业提出了以下几条APT攻击防御建议:
首先,在思想上企业的安全部门要高度重视。其次,在APT攻击的目标锁定和信息采集阶段,从技术上难以防范,需要从管理制度上进行防御。而在APT攻击的渗透阶段,可以通过硬件模拟动态分析技术、黑白名单、异常流量检测、全流量审计技术、大数据分析等手段实施防御,这就涉及到了对未知攻击的检测能力和对流量的深度分析能力。而此时,科来的APT完整解决方案便成为企业可以选择的多维防御方案。
结语
尽管APT攻击已经呈愈演愈烈之势,但目前大部分的企业对APT攻击都停留在听说过的层面,只有很少的一部分用户对APT造成的危害非常了解。这一现状也就决定了大部分国内企业均缺乏有效的防御手段,因此科来认为,目前市场急需专门应对APT的完整解决方案,而不单单是在传统安全产品上稍作改动的下一代安全产品。
而放眼全球,APT攻击上升到国家网络空间对抗一定是不可避免的,网络空间战早已经打响,APT攻击是其中的主要方式之一。国外在网络安全方面非常注重投入和规划,并且拥有包括根域名服务器、操作系统、加密、芯片交换机、路由器等资源可利用。相较而言,我国对抗APT攻击所要建的防御体系,就不仅仅只是恶意代码的动态检测了。对于国内安全厂商来讲,在APT攻击防御的道路上,仍旧任重而道远。
如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。
现场直击|2021世界人工智能大会
直击5G创新地带,就在2021MWC上海
5G已至 转型当时——服务提供商如何把握转型的绝佳时机
寻找自己的Flag
华为开发者大会2020(Cloud)- 科技行者