2006年之前，我們面臨的主要威脅是病毒；2006年之后的6、7年時(shí)間里，我們面臨的主要威脅是木馬；2013年之后及未來(lái)很長(zhǎng)一段時(shí)間，我們面臨的主要威脅除了木馬之外，還包括定向攻擊。大規(guī)模爆發(fā)的病毒逐漸在減少，但是我們并沒(méi)有感受到越來(lái)越安全，相反，各種網(wǎng)絡(luò)威脅變得越來(lái)越詭秘，它們的打擊變得越來(lái)越定向，攻擊目標(biāo)也越來(lái)越多元，網(wǎng)絡(luò)所面臨的風(fēng)險(xiǎn)提升到了針對(duì)特定領(lǐng)域與特定機(jī)構(gòu)的定向APT攻擊。

安全網(wǎng)關(guān)作為傳統(tǒng)的網(wǎng)絡(luò)安全設(shè)備，通常以路由模式部署于用戶環(huán)境中，集數(shù)據(jù)轉(zhuǎn)發(fā)、安全防護(hù)等多方面功能于一體，具有高穩(wěn)定性、低轉(zhuǎn)發(fā)時(shí)延等特性。而面對(duì)每年數(shù)十億級(jí)以上病毒及其他非安全軟件的快速增長(zhǎng)，安全網(wǎng)關(guān)的病毒特征容量有限、被動(dòng)滯后和更新不及時(shí)、AV模塊對(duì)于網(wǎng)關(guān)性能的消耗等問(wèn)題越來(lái)越明顯，對(duì)于文檔溢出漏洞攻擊、未知惡意代碼攻擊、0day/1day漏洞等攻擊已經(jīng)顯得無(wú)能為力。

私有云方案助力網(wǎng)關(guān)防御APT攻擊

作為安全網(wǎng)關(guān)的代表，防火墻經(jīng)過(guò)幾次的技術(shù)變遷，已經(jīng)發(fā)展了多代產(chǎn)品。縱觀防火墻的發(fā)展史，都是隨著用戶的安全需求不斷變化而不斷演變。雖然很多安全廠商推出了新一代防火墻產(chǎn)品，但大部分產(chǎn)品僅僅是堆疊了不同的模塊，例如在防火墻基礎(chǔ)上集成了入侵防御、防病毒、上網(wǎng)行為管理、WAF、內(nèi)容過(guò)濾、行為管理或內(nèi)容審計(jì)等功能，并不能算作真正意義的新一代防火墻。

啟明星辰認(rèn)為，新一代防火墻既要具有高性能，也要能動(dòng)態(tài)分析和精確防御未知威脅。

1、私有云方案

云服務(wù)已經(jīng)逐步應(yīng)用在各個(gè)行業(yè)中，其中大規(guī)模多級(jí)部署、集中分析、全網(wǎng)資源信息同步等優(yōu)點(diǎn)也得到了更多人的認(rèn)可，與此同時(shí)，目前應(yīng)用廣泛的公有云所存在的問(wèn)題也越來(lái)越多的被提及，如信息的同步必須要有Internet連接才能實(shí)現(xiàn)；公網(wǎng)鏈路傳輸?shù)陌踩浴⒎€(wěn)定性也得不到保障；用戶信息在公有云上集中進(jìn)行處理，存在信息泄露的安全風(fēng)險(xiǎn)，不適用于政府等機(jī)要單位。為此產(chǎn)生了私有云的概念，所謂“私有”是指信息只在可信的網(wǎng)絡(luò)范圍內(nèi)實(shí)現(xiàn)共享，集合可信網(wǎng)絡(luò)的全網(wǎng)資源，利用分散的運(yùn)行能力集合成統(tǒng)一結(jié)果，任何一個(gè)節(jié)點(diǎn)發(fā)現(xiàn)的威脅均可以通過(guò)私有云同步給全網(wǎng)共享，實(shí)現(xiàn)單點(diǎn)誘發(fā)全網(wǎng)同步，同時(shí)也很好的避免了公有云信息共享所存在的安全性問(wèn)題。

2010年，業(yè)界出現(xiàn)了主動(dòng)云防御的概念，主動(dòng)云防御實(shí)時(shí)收集各個(gè)安全設(shè)備的威脅信息，并將共享的信息動(dòng)態(tài)同步給其他安全設(shè)備。但是主動(dòng)云防御的云端服務(wù)器無(wú)法對(duì)未知威脅形成有效的維護(hù)，所以云端服務(wù)器本身的安全性受到挑戰(zhàn)；受公有云同步機(jī)制的限制，處于局域網(wǎng)中的安全設(shè)備則無(wú)法參與主動(dòng)云防御；若要實(shí)現(xiàn)大范圍的覆蓋，則會(huì)產(chǎn)生高昂的運(yùn)行成本。諸多問(wèn)題的存在導(dǎo)致主動(dòng)云防御在實(shí)際環(huán)境中的運(yùn)用效果并不理想。

私有云傳承自主動(dòng)云防御。私有云是通過(guò)一套應(yīng)對(duì)已知/未知惡意代碼攻擊、0day/1day漏洞等攻擊的鑒別系統(tǒng)與若干網(wǎng)關(guān)設(shè)備聯(lián)動(dòng)實(shí)現(xiàn)的，屬于網(wǎng)關(guān)級(jí)的高級(jí)安全防御方案。私有云解決方案利用文件黑名單、惡意代碼靜態(tài)檢測(cè)、虛擬加載執(zhí)行、動(dòng)態(tài)監(jiān)測(cè)多種組合方式對(duì)一切可能用于攻擊的文件進(jìn)行深度安全分析，從而有效檢測(cè)0day格式溢出來(lái)應(yīng)對(duì)高級(jí)安全威脅，深度提取可執(zhí)行樣本，并對(duì)未知威脅進(jìn)行判別，同時(shí)將分析結(jié)果同步至聯(lián)動(dòng)的安全網(wǎng)關(guān)，最終由安全網(wǎng)關(guān)策略實(shí)現(xiàn)訪問(wèn)控制并提供詳細(xì)的行為報(bào)告，大幅度提升了安全網(wǎng)關(guān)的檢測(cè)能力，同時(shí)也保障了安全網(wǎng)關(guān)的轉(zhuǎn)發(fā)性能。

2、私有云技術(shù)特點(diǎn)

私有云防護(hù)解決方案作為網(wǎng)關(guān)設(shè)備上的核心技術(shù)革新，通過(guò)安全網(wǎng)關(guān)與云中心聯(lián)動(dòng)、安全網(wǎng)關(guān)與安全網(wǎng)關(guān)之間信息共享，大大強(qiáng)化了安全網(wǎng)關(guān)的防護(hù)能力，真正實(shí)現(xiàn)了全網(wǎng)動(dòng)態(tài)防御。

網(wǎng)關(guān)私有云主要采用動(dòng)態(tài)分析手段捕獲未知0day攻擊，利用虛擬機(jī)和內(nèi)核監(jiān)控手段，將樣本投放到虛擬機(jī)中運(yùn)行，監(jiān)控并記錄其運(yùn)行的本地行為，如注冊(cè)表的修改、系統(tǒng)文件的修改和網(wǎng)絡(luò)信息。記錄下樣本運(yùn)行態(tài)的信息，判定樣本的類(lèi)別，感染程度以及危害等級(jí)。

網(wǎng)關(guān)私有云針對(duì)APT的四類(lèi)主要威脅（PE類(lèi)木馬、溢出格式、嵌入或獨(dú)立腳本、URL訪問(wèn)），通過(guò)靜態(tài)分析、虛擬執(zhí)行、動(dòng)態(tài)監(jiān)控等技術(shù)手段進(jìn)行分析鑒定。

主流APT解決方案對(duì)比分析

1、傳統(tǒng)特征匹配+虛擬執(zhí)行引擎。代表：Fireeye

基于行為異常的檢測(cè)方法核心思想是通過(guò)沙箱（高級(jí)蜜罐）模擬運(yùn)行環(huán)境，把未知程真實(shí)運(yùn)行一遍，從程序工作的行為判斷其合法性。

優(yōu)點(diǎn)：判斷準(zhǔn)確性較高不易誤判或漏判；

缺點(diǎn)：計(jì)算資源消耗比較大，部署成本較高；

2、基于白名單的終端安全檢測(cè)方案。代表：Bit9

通過(guò)在公有云上部署的80億條白名單庫(kù)，對(duì)安裝在用戶終端上的終端軟件提供注冊(cè)服務(wù)，凡在白名單庫(kù)里未注冊(cè)過(guò)的文件均被終端禁止訪問(wèn)，同時(shí)其終端軟件具有終端管理軟件常見(jiàn)的屬性，如移動(dòng)設(shè)備控制、注冊(cè)表保護(hù)等。

優(yōu)點(diǎn)：節(jié)省了計(jì)算資源，部署成本低；

缺點(diǎn)：不夠靈活，根據(jù)事先定義的特征，很有可能導(dǎo)致阻斷合法應(yīng)用；

3、私有云解決方案。代表：?jiǎn)⒚餍浅健ortinet

啟明星辰私有云解決方案通過(guò)系統(tǒng)智能集成的海量黑白名單、規(guī)模化虛擬機(jī)動(dòng)態(tài)鑒定等，對(duì)文件是否包括惡意行為進(jìn)行判定，形成自動(dòng)化分析報(bào)告，并與安全網(wǎng)關(guān)進(jìn)行聯(lián)動(dòng)，在不影響轉(zhuǎn)發(fā)性能的前提下大幅增強(qiáng)安全網(wǎng)關(guān)的檢測(cè)能力。

優(yōu)點(diǎn)：節(jié)省了安全網(wǎng)關(guān)的計(jì)算資源，檢測(cè)準(zhǔn)確性較高不易誤判或漏判，結(jié)合網(wǎng)關(guān)部署方式較靈活。

私有云解決方案Vs極光攻擊

2009-2010年,Google等20多家公司遭受了極光攻擊。攻擊者利用了IE的0day漏洞、十多種惡意代碼和多層次的加密避免被發(fā)現(xiàn)。攻擊者的攻擊步驟如下圖所示：

“極光”攻擊步驟

無(wú)論如何，攻擊者需要一個(gè)突破點(diǎn)。當(dāng)被滲透目標(biāo)踏入攻擊者設(shè)立的圈套時(shí)，IE瀏覽器的0day漏洞被惡意代碼利用，下載攻擊者精心構(gòu)造的、可以輕松騙過(guò)殺毒引擎的程序。

以前，傳統(tǒng)網(wǎng)關(guān)、殺毒軟件在檢測(cè)該惡意程序時(shí)，多是特征掃描；而攻擊被發(fā)現(xiàn)之前安全廠商又不可能獲取樣本，更不可能將該惡意程序的特征更新到威脅特征庫(kù)中（事實(shí)上直到2010年1月份，Google公開(kāi)了此事后特征才被眾多廠家獲取），安全防范總是滯后的。

如果我們?cè)诰W(wǎng)絡(luò)中使用了啟明星辰私有云解決方案，結(jié)果又會(huì)如何呢？

首先我們?cè)诰W(wǎng)絡(luò)傳輸過(guò)程中由安全網(wǎng)關(guān)捕獲到了該程序，經(jīng)過(guò)安全網(wǎng)關(guān)本地初步判斷，無(wú)法確定該程序就是安全的。接下來(lái)將該程序送到私有云防御中心，進(jìn)行動(dòng)態(tài)行為分析。

觀察該程序的所有行為，其中至少有三個(gè)行為是高度可疑的：

1、連續(xù)下載加密的程序；

2、刪除自身；

3、構(gòu)建后門(mén)，發(fā)起反向連接。

新下載的加密程序仍會(huì)運(yùn)行起來(lái)進(jìn)行動(dòng)態(tài)行為分析，其中有很多特殊的行為都存在危害性，如釋放PE文件、獲取敏感信息、隱藏文件、添加服務(wù)等。通過(guò)將分析結(jié)果與安全網(wǎng)關(guān)聯(lián)動(dòng)，足以引起管理員的重視，從而將威脅消滅在初始階段。