根據相關統計顯示:2013年1-6月新增木馬月均上億,其中未知木馬增幅明顯。在安全漏洞方面,零日漏洞占比居高不下。威脅防御難度正在以指數速度增長,安全威脅在變得愈發復雜,需要實現綜合的安全防御。
APT類攻擊主要是未知威脅,其所采用獨特的攻擊方式和手段,使得傳統依靠特征庫的網關產品已經不適合于對APT形成有效防御。面對新安全形勢下的新威脅,傳統安全防護設備亟需做出調整和升級。
APT攻擊主要面向政府機構、重要信息部門、高新技術單位等,震網病毒、火焰病毒、紅色十月……APT攻擊正在亮出其鋒利的獠牙。據統計,震網病毒拖后了伊朗核計劃達兩年之久。火焰病毒同樣利用未知漏洞感染主機,進而感染全網,記錄鍵盤操作、屏幕信息,甚至進行錄音,在獲取機密數據后,其還會將其自身銷毀。來無蹤去無影是APT類攻擊所最求的最高境界,但這對于安全防御者而言則不是一個好消息。因為當APT類攻擊被發現時,往往攻擊可能已經達成目的。
安全專家認為,APT攻擊的解決思路主要有,主機應用保護、網絡入侵檢測、數據防泄密、大數據分析審計、網關惡意代碼檢測等。
RSA通過大數據分析進行檢測,理論檢測率很高,但不易于維護,對資源要求很高。啟明星辰的網關級APT防御方案,會首先在網關本地安全特征庫進行檢測,然后進一步在私有云中心的黑白名單進行檢測,如果還無法確認未知威脅,還將在沙箱里虛擬執行,實現單點誘發全網實時同步獲取執行結果。這樣一方面提高了檢測率,可以實現實時防御,擁有較高性能,而且易于維護。在APT攻擊第一步——充分利用合法請求試圖發起欺詐攻擊時,就可以在網關里通過特征庫進行初步分析。
D1Net評論:
當APT攻擊試圖傳送包含0day漏洞的受信任文件時,私有云里的白名單庫將對文件信譽進行評估。而當APT攻擊利用0day漏洞、未知病毒木馬等多種方式進行組合滲透并定向擴散時,私有云里的黑名單庫和虛擬執行可以進行及時的發現。
京公網安備 11010502049343號