《企業(yè)網(wǎng)D1Net》4月28日訊
所有安全廠商都在談?wù)揂PT(高級持續(xù)性威脅),但是如何防御APT則見仁見智了。
“我們認為,全系統(tǒng)模擬(Full System Emulation)的沙箱(Sandbox)技術(shù)可以更為有效地幫助企業(yè)防御APT攻擊。”WatchGuard中國區(qū)市場總監(jiān)萬熠如此表示。近日,記者通過采訪,了解到了WatchGuard這一全球領(lǐng)先的防火墻廠商對APT的理解。
APT相較于傳統(tǒng)的安全威脅具有針對性強、隱蔽性高等特性。明槍易躲暗箭難防,如何發(fā)現(xiàn)APT都非常困難,就遑論APT的防御了。據(jù)記者了解,企業(yè)中確實出現(xiàn)過被APT攻擊的案例,而且更為可怕的是,該企業(yè)在被攻擊后的很長時間內(nèi),都對自己被攻擊的事情一無所知。
一方面,APT攻擊的操縱者會非常有針對性的進行為期幾個月甚至更長時間的潛心準備,讓企業(yè)憑借自身力量在海量的信息中去探測發(fā)現(xiàn)攻擊行為幾乎是不可能的。攻擊者有可能會把惡意代碼植入到企業(yè)中防護最薄弱的終端,但不會立即發(fā)動攻擊。當一切準備就緒并鎖定重要信息后,攻擊者才會利用這條秘密通道悄無聲息地將信息轉(zhuǎn)移出去。另一方面,傳統(tǒng)的惡意軟件探測方式是以簽名技術(shù)為基礎(chǔ)的,但蠕蟲、木馬、零日(0day)漏洞為手段的攻擊形式正在向復雜性更高的APT形式過渡,傳統(tǒng)的安全產(chǎn)品正在變得毫無作為。這——正是APT的可怕之處。
“可以說,APT并不僅僅屬于網(wǎng)絡(luò)層面,也不僅僅屬于應(yīng)用層面。從防護的角度,我們可以把看作是一系列的網(wǎng)絡(luò)行為。”萬熠告訴記者,所以目前安全廠商應(yīng)對APT所普遍采用的是沙箱技術(shù)。通過沙箱技術(shù)來模擬一系列網(wǎng)絡(luò)行為所產(chǎn)生的后果,再通過大數(shù)據(jù)分析來判定其是不是APT攻擊。
“要更好地捕捉APT,就要進行更為底層的行為模擬。于是,WatchGuard提出了全系統(tǒng)模擬的解決方案。”萬熠介紹,目前的沙箱通常是某一層面進行模擬,比如對操作系統(tǒng)模擬。但是,如果一個惡意行為是讀取內(nèi)存,那么這個模擬可能就無法察覺這樣的惡意行為。“全系統(tǒng)模擬的意思是從底層開始,構(gòu)建從CPU、內(nèi)存等硬件資源到操作系統(tǒng)、中間件的全系統(tǒng)沙箱,在這樣的模擬環(huán)境中來監(jiān)測網(wǎng)絡(luò)行為,才能更為有效地甄別和捕獲APT。”萬熠說。
事實上,APT的攻擊目標已經(jīng)從政府和大型企業(yè)的關(guān)鍵基礎(chǔ)設(shè)施轉(zhuǎn)向規(guī)模更小的組織和企業(yè)。這是因為,這些企業(yè)甚至是中小企業(yè)的安全防護更為薄弱,但仍然具備一定價值的數(shù)據(jù)和商業(yè)機密,所以,它們未來將成為更為廣泛的APT的攻擊對象。為了幫助中小企業(yè)用戶積極有效地應(yīng)防御APT攻擊,WatchGuard在其設(shè)備中實現(xiàn)了“APT攔截器”功能。在全新的v11.9版本中,用戶即可以擁有實時、可視化的APT防御能力。
該方案基于WatchGuard的RED全球信譽評估云平臺,使用仿真環(huán)境,APT攻擊代碼和包含零日威脅的惡意流量將自動提交到云端沙箱中進行分析。WatchGuard全球的五大數(shù)據(jù)中心以及獨有的3大反病毒引擎并發(fā)檢測技術(shù)將最終形成安全策略發(fā)布平臺,幫助企業(yè)防范APT攻擊。
另外,WatchGuard的Dimension日志系統(tǒng)將利用大數(shù)據(jù)分析技術(shù),真正意義上幫助用戶擁有在數(shù)分鐘內(nèi)發(fā)現(xiàn)并追蹤APT攻擊源頭能力,解決傳統(tǒng)技術(shù)無法識別或是需要數(shù)日時間才能預警的被動局面。
“WatchGuard近期將推出入門級企業(yè)安全防護設(shè)備T10,吞吐量為220Mbps,適用于SOHO和小型企業(yè)。即使是在這樣的設(shè)備中,我們同樣提供了全系統(tǒng)模擬的APT防御能力。WatchGuard的產(chǎn)品思路始終是集成業(yè)界最好的防御方式,并將這些能力提供給所有的WatchGuard用戶,當然這其中也包括最新的全系統(tǒng)模擬的APT防御能力。這是因為,無論規(guī)模大小,所有的企業(yè)都面臨著與日俱增的安全威脅,幫助這些企業(yè)抵御安全威脅是WatchGuard的責任。”萬熠說。
京公網(wǎng)安備 11010502049343號