近年來，隨著互聯(lián)網(wǎng)技術(shù)的發(fā)展，以“虛擬化技術(shù)”和“高速網(wǎng)絡(luò)”發(fā)展為基石的云計算被視為未來互聯(lián)網(wǎng)時代發(fā)展的重要變革。隨著云計算技術(shù)的逐漸落地，網(wǎng)民在互聯(lián)網(wǎng)上面臨的安全問題越來越嚴峻，云計算的程度越高，以往針對個人的分散式攻擊變得越來越?jīng)]有效率，黑客一定會聚焦于云計算平臺，施以專注、專業(yè)的APT攻擊，以期獲取最大量、最核心的機密數(shù)據(jù)，從而造成最大的破壞，或獲得最大的利益。更有國外媒體大膽預(yù)測，云計算技術(shù)一旦普及，基于客戶端的安全問題就不會再存在太大問題，我們更多的應(yīng)該關(guān)注云平臺、數(shù)據(jù)中心、DMZ、服務(wù)器區(qū)等APT攻擊的聚集點。

與APT攻擊的專業(yè)性和復(fù)雜度相對應(yīng)，企業(yè)對其的防范非常困難。黑客在暗中通過社會工程學(xué)等手段收集大量信息，而被攻擊者毫不知情。由此造成的信息不對稱造成了對APT攻擊的防御難點。

就目前對APT攻擊的防御現(xiàn)狀來看，傳統(tǒng)的安全軟件多以防范病毒和木馬為主，無法有效防范漏洞攻擊。只有當(dāng)漏洞被黑客大規(guī)模攻擊時，安全廠商才有機會監(jiān)測到漏洞。而傳統(tǒng)的防火墻、入侵檢測、安全網(wǎng)關(guān)、殺毒軟件和反垃圾郵件系統(tǒng)等檢測技術(shù)也主要是網(wǎng)絡(luò)邊界和主機邊界進行檢測,它們均缺乏對未知攻擊的檢測能力和對流量的深度分析能力。這種滯后響應(yīng)的方式已經(jīng)無法適應(yīng)新的安全形勢。

APT防御困局如何破解？

據(jù)科來介紹，利用0day漏洞進行的APT攻擊，是非常難防御的未知攻擊，雖然防御難度高，但業(yè)界公認的動態(tài)檢測技術(shù)，是一種有效的防御手段，可以通過執(zhí)行樣本來觀察其所有行為，檢測是否含有惡意的APT攻擊代碼。但是高級木馬會主動匹配目標主機環(huán)境，只有環(huán)境匹配才可能誘導(dǎo)樣本的木馬行為。但這一技術(shù)也有不足之處：有些高級木馬具備多種逃逸技術(shù)，甚至?xí)ㄟ^是否具有人工動作判斷是否為虛擬機，避免暴露自己。所以動態(tài)檢測技術(shù)的優(yōu)劣還在于防木馬的逃逸檢測能力，不被木馬檢測是關(guān)鍵。所以基于硬件指令模擬技術(shù)，是一種更好的檢測對抗技術(shù)，據(jù)了解這也是Fire eye采用的技術(shù)，而目前國內(nèi)只有科來在應(yīng)用該項技術(shù)。

然而，對于APT防御，動態(tài)檢測只是對抗惡意代碼或樣本的攻擊階段，對于攻擊前和攻擊后的行為分析，則需要有異常流量的檢測技術(shù)和全流量審計的回查技術(shù)來配合。木馬攻擊成功后，潛伏下來后會通過隱蔽信道技術(shù)躲避檢查，心跳數(shù)據(jù)非常少，甚至加密，混在大量的流量里，要辨別非常困難，猶如大海撈針。這就需要有非常精確的應(yīng)用和協(xié)議鑒別技術(shù)，通過建立異常行為模型可在一定程度上解決問題，也就是異常流量檢測技術(shù)。據(jù)科來介紹，無論攻擊者如何隱藏，只要通過網(wǎng)絡(luò)傳輸，必然會產(chǎn)生相應(yīng)數(shù)據(jù)，所以全流量的安全審計是APT安全檢測中必不可少的技術(shù)，企業(yè)只有做到全流量數(shù)據(jù)記錄，同時對網(wǎng)絡(luò)數(shù)據(jù)進行深度分析，并建立企業(yè)私有云，才能做到發(fā)現(xiàn)追蹤取證防御APT。

科來APT防御解決方案及思路

基于以上思路，科來自主研發(fā)了一套完整APT解決方案，分為前端、分析中心和后臺，涵蓋了異常流量分析、動態(tài)分析和全流量回溯分析的技術(shù)。

用戶可以憑借異常流量和動態(tài)分析技術(shù)發(fā)現(xiàn)網(wǎng)絡(luò)的異常和未知的高危文件型木馬，使用全流量記錄設(shè)備--回溯系統(tǒng)來調(diào)取攻擊數(shù)據(jù)進行數(shù)據(jù)包級的分析，系統(tǒng)還具有阻斷功能，可以阻斷高危的會話和域名訪問，保護內(nèi)部用戶，做到及時的止損。這樣使得APT解決方案從異常發(fā)現(xiàn)到取證和阻斷能夠形成一個閉環(huán)的工作模式。

 作為一種有針對性的攻擊手段，APT在未發(fā)動攻擊時很難被察覺到，也很難像木馬、病毒等被掃秒出來，因此對于用戶來說，即使是試用了APT防御解決方案，也很難實際感受到其優(yōu)劣和帶來的價值，但一旦出現(xiàn)問題帶來的影響是空前巨大的。因此，除了部署APT防御解決方案，科來同時也為企業(yè)提出了以下幾條APT攻擊防御建議：

1、在思想上企業(yè)的安全部門要高度重視，不要認為APT攻擊離自己很遙遠。

2、在APT攻擊的目標鎖定和信息采集階段，從技術(shù)上難以防范，需要從管理制度上進行防御。而在APT攻擊的滲透階段，可以通過硬件模擬動態(tài)分析技術(shù)、黑白名單、異常流量檢測、全流量審計技術(shù)、大數(shù)據(jù)分析等手段實施防御，這就涉及到了對未知攻擊的檢測能力和對流量的深度分析能力。而此時，科來的APT完整解決方案便成為企業(yè)可以選擇的多維防御方案。

APT防御形式嚴峻任重道遠

在網(wǎng)絡(luò)空間日益被重視的今天，APT攻擊已經(jīng)是國家網(wǎng)絡(luò)空間對抗的一種手段，并且已不可避免，以美國為首的五只眼，聯(lián)合更多國家的全球信息監(jiān)控，會進一步推動全球各國重視網(wǎng)絡(luò)空間對抗。

APT攻擊是國家網(wǎng)絡(luò)對抗的主要方式之一，我們需要借鑒美國在網(wǎng)絡(luò)安全方面的投入和規(guī)劃。但是，我們面對APT攻擊防護起來難度要遠高于美國，因為美國掌握了大量的網(wǎng)絡(luò)資源和網(wǎng)絡(luò)技術(shù)，如根域名服務(wù)器、操作系統(tǒng)、芯片、交換機、路由器等，我們要建立的防御體系，不僅僅只是惡意代碼的動態(tài)檢測或是是在傳統(tǒng)安全產(chǎn)品上稍作改動的下一代安全產(chǎn)品，而是需要具備像Fireeye等國外安全企業(yè)那樣有效的APT檢測手段，同時具備對數(shù)據(jù)的追溯回查能力，做到對APT攻擊的發(fā)現(xiàn)、追蹤、取證和防御。