01APT防御难点分析APT攻击具有高度专业化和复杂性,防范难度相对较大。攻击者通过社会工程学等手段,在暗中收集了大量信息,而受害者却毫不知情。这种信息不对称也造成了APT攻击的防御困难。APT攻击行为特征难以提取、攻击渠道多样化、攻击空间不确定等特点也构成了其防御难点。首先,APT一般都是通过零日漏洞获取权限,但是通过获取和分析对应攻击的特征来识别攻击行为通常存在滞后性,这会导致难以实时监控APT攻击,更何况APT专注于动态行为和静态文件。二是APT攻击渠道多样化,难以采用单一的技术手段建立通用的防御机制;最后,APT攻击空间的不确定性,如任何阶段、任何网络、任何边缘或非核心节点等都可能成为攻击目标,导致其安全防护效果的不确定性。“持久化”和“社会工程学”的混合攻击方式是APT防御的又一难点。APT持续时间长,就像人体的慢性病一样,经过一段时间的潜伏期,随时可能爆发。据统计,APT攻击被发现平均需要5年左右的时间。是否可以保证某些数据将被关注5年?这在物理世界中很难维持,更不用说在数据无处不在的网络空间中了。大数据的特点是数据规模大、分布无处不在,即数据的价值密度变得更小、更分散,使得高价值数据更难聚焦。这正是大数据本身带来的攻击检测难度。然而,攻击者可能只是持续关注某些敏感数据,这将使APT攻击防不胜防。02APT防御的基本方法APT是多种攻击方式的组合,因此也需要多方位的检测和防御。1、恶意代码检测大多数APT攻击都是利用恶意代码攻击员工个人电脑,从而突破目标网络和系统的防御措施。因此,恶意代码检测对于检测和防御APT攻击至关重要。恶意代码检测主要分为两种:基于签名的检测技术和基于启发式的检测技术。基于签名的检测技术是通过对恶意代码的静态分析,如十六进制字节序列、字符串序列等,找到恶意代码中具有代表性的特征信息(指纹),然后利用特征进行快速匹配。因此,基于签名的检测过程一般分为三个步骤:第一步是签名分析,反病毒专家对收集到的恶意样本进行分析,提取签名;第二步是签名存储,也就是对签名添加签名。数据库;第三步是安全检测,即对可疑样本进行扫描,利用已有的特征库进行匹配。一旦匹配成功,将被识别为恶意代码,并输出恶意代码的相关信息。基于启发式的检测技术通过对恶意代码的分析,获取恶意代码执行中常见的行为操作序列或结构模式。这些行为序列和模式一般很少出现在普通文件中,比如修改PE文件的结构,删除某个系统关键文件,格式化磁盘等,然后将各个行为操作序列或结构模式按照程度排序的危险性,设置不同的风险度权重值。在实施检测时,如果行为操作序列或结构模式的加权值之和超过指定阈值,则判断为恶意代码。阈值设置是启发式检测技术检测时的关键。如果阈值设置过大,一些危险的操作可能会被忽略,这可能会导致误报。但是,如果阈值设置得太小,则可能会合并一些正常的行为序列。如果确定是恶意操作,很容易误报。因此,需要通过实验调整参数,以达到最佳测试效果。2、主机应用防护无论攻击者通过什么渠道向员工个人电脑发送恶意代码,恶意代码都必须在员工个人电脑上执行,才能控制整台电脑。因此,如果能够加强系统中各主机节点的安全措施,保证员工个人电脑和服务器的安全,就可以有效抵御APT攻击。3.网络入侵检测安全分析人员发现,虽然APT攻击所使用的恶意代码变种较多且升级频繁,但恶意代码构建的指挥控制通道的通信方式并不经常变化。因此,传统的入侵检测方法可以用来检测APT的命令控制通道。关键是如何及时获取APT攻击指挥控制通道的通信模式特征。4.大数据分析检测大数据分析是一种网络取证思想。全面采集网络设备原始流量和终端、服务器日志,对海量数据进行集中存储和深度分析。在发现APT攻击的蛛丝马迹后,通过综合分析海量日志数据还原APT攻击场景。大数据分析检测涉及海量数据处理,因此需要搭建Hadoop、Spark等大数据存储和分析平台,通过机器学习对数据进行分析,检测是否受到攻击。例如,使用k-means聚类算法和ID3决策树学习算法检测异常网络流量,使用基于欧氏距离的k-means聚类算法训练正常流量行为和异常流量行为,最后结合ID3决策树判断是否流量异常。03APT防御产品路线随着APT攻击的流行,许多安全厂商也推出了APT安全解决方案。下面介绍几款APT检测和防御产品。1.FireEyeFireEye的APT解决方案包括两个组件:MPS(MalwareProtectionSystem)和CMS(CentralManagementSystem)。其中MPS是恶意代码防护引擎,是一个高性能的智能沙箱,可以直接采集流量、提取携带的文件等,然后放入沙箱中进行安全检测。FireEye的MPS引擎具有以下特点。(1)支持三种来源的恶意代码检测:Web、电子邮件和文件共享。(2)针对不同来源的恶意代码,采用特殊的MPS硬件进行特殊处理,以提高检测性能和准确性。(3)MPS支持除可执行文件外最多20种文件类型的恶意代码检测。(4)MPS可支持旁路和串行部署,实现恶意代码检测和实时防护。(5)MPS可以实时获知恶意代码的指挥控制通道特征,在串行部署模式下可以实时阻断APT攻击的指挥控制通道。CMS是一个集中管理系统模块,对系统中的各个MPS引擎进行管理,同时实现威胁情报的收集、及时分发和共享。CMS除了可以在系统中集中管理多个MPS引擎,还可以连接到云端的全球威胁情报网络获取威胁情报,并支持将检测到的新的恶意代码情报上传到云平台,实现威胁情报的同步。共享威胁情报。此外,FireEye还可以与其他日志分析产品集成,形成更强大的APT安全防御方案。2、Bit9Bit9基于信任的安全平台(Trust-basedSecurityPlatform)采用软件可信、实时检测审计、安全云三大技术,提供网络可视化、实时检测等四大企业级安全功能、安全保护和事后取证。这使得强大的恶意代码检测和防御各种高级威胁成为可能。Bit9解决方案的核心是基于策略的可信引擎,管理员可以通过安全策略定义可信软件。默认情况下,Bit9可信安全平台上的所有软件都是可疑的,禁止加载和执行。只有符合安全策略定义的软件才被认为是可信的并允许执行。Bit9可以根据软件发布者和可信软件分发源定义可信策略,也可以使用安全云提供的软件信誉服务衡量软件可信度,让用户下载和安装高可靠的免费软件。基于安全策略的可信软件定义方案实际上采用了软件白名单机制,即只有软件白名单中的应用软件才能在企业计算环境中执行,禁止其他的执行,从而保护企业的计算环境安全。Bit9解决方案中安装在每个终端和服务器上的轻量级实时检测和审计模块,是实时检测、安全防护和事后取证的关键组件。实时检测模块可实现整个网络和计算环境的全面可视化,实时了解终端和服务器的设备状态和关键系统资源状态,包括终端上的文件操作和软件加载执行;审计模块还可以对终端文件访问通道、文件执行、内存攻击、进程行为、注册表、外设挂载等进行审计。Bit9解决方案还提供基于云端的软件信誉服务,通过主动抓取发布的软件信息来计算软件信誉云端,包括软件发布时间、流行度、软件发布者、软件来源、AV扫描结果等。同时还支持从第三方恶意代码检测厂商(如FireEye等)获取文件哈希列表,有效识别更多恶意代码和可疑文件。3.RSANetWitnessRSANetWitness是一个革命性的网络安全监控平台。APT攻击的检测和防御主要通过Spectrum、Panorama和Live实现。其中,RSANetWitnessSpectrum是一款安全分析软件,旨在识别和分析基于恶意软件的企业网络安全威胁,并确定安全威胁的优先级;RSANetWitnessPanorama整合数百个日志源与外部安全威胁情报,从而实现创新的信息安全分析;RSANetWitnessLive是一项先进的威胁情报服务,利用全球信息安全界的集体智慧和分析能力,及时获取各种APT攻击的威胁情报信息,可大大缩短对潜在安全威胁的响应时间。总体而言,RSANetWitness具有以下特点。(1)集中分析全网流量和服务对象的离散事件,实现网络的全面可视化,从而获取全网安全态势。(2)识别各种内部威胁,检测零日漏洞攻击,检测各种特定恶意代码和APT攻击事件,数据泄露事件等。(3)网络日志数据实时上下文智能分析,为企业提供可读性安全情报信息。(4)检测和防御分析过程的自动化,最大限度地减少了安全事件的响应时间。04APT防御发展趋势目前主流厂商提供的APT防御产品主要存在以下问题。(1)无法很好地实现APT攻击的全程检测,容易导致漏报攻击。(2)不能全面实时防御APT攻击,难以实现主动防御。(3)APT攻击的态势感知不能准确实现,缺乏安全预警机制。从功能上看,一个完整的APT安全检测与防御方案应该涵盖APT攻击的各个阶段,即事前智能检测、事中应急响应、事后分析与防御三个层次。防御。从技术角度看,APT安全解决方案应具备主机应用控制、实时恶意代码检测、入侵防御等关键技术,实现对APT攻击的实时检测和防御。同时,还需要将入侵检测与防御与大数据分析技术相结合,实现基于大数据的安全态势感知和智能预警分析,这将成为APT安全解决方案的核心,实现情报信息获取并对APT攻击事件进行深入分析。随着人工智能2.0时代的到来,基于深度学习的APT主动防御服务平台也成为技术发展趋势。
