程彥博
近年來防范APT攻擊成為了各類安全廠商共同的話題,各類安全廠商結合自己的技術優(yōu)勢和特點勾勒了不同角度、不同思路的APT防御模型。近日,網(wǎng)御星云發(fā)布了首個網(wǎng)關級的APT解決方案,期待以網(wǎng)關為基礎做防御APT的大文章。當然,網(wǎng)關產(chǎn)品一直是網(wǎng)御星云的強項,但以網(wǎng)關為基礎的防御模式能否擔起防御APT的重任呢?
大規(guī)模爆發(fā)的病毒逐漸在減少,但是我們并沒有感受到越來越安全,相反,各種網(wǎng)絡威脅變得越來越詭秘,它們的打擊變得越來越定向,攻擊目標也越來越多元,網(wǎng)絡所面臨的風險提升到了針對特定領域與特定機構的定向APT攻擊。
很多企業(yè)和政府可能并沒有遭到APT攻擊,但這僅僅是可能。這是因為,APT攻擊的定向性和高隱蔽性讓被攻擊者防不勝防,甚至有的受害者內(nèi)部網(wǎng)絡被入侵一年之久,而自己仍渾然不覺。
于是,近年來防范APT攻擊成為了各類安全廠商共同的話題,各類安全廠商結合自己的技術優(yōu)勢和特點勾勒了不同角度、不同思路的APT防御模型。近日,網(wǎng)御星云發(fā)布了首個網(wǎng)關級的APT解決方案,期待以網(wǎng)關為基礎做防御APT的大文章。當然,網(wǎng)關產(chǎn)品一直是網(wǎng)御星云的強項,但以網(wǎng)關為基礎的防御模式能否擔起防御APT的重任呢?
網(wǎng)關+私有云
“當前,APT已成為政府機構和大型企業(yè)面臨的最為嚴峻的安全挑戰(zhàn)。很多安全廠商也基于不同的思路給出了APT攻擊和防御思路,這其中包括主機應用防護、網(wǎng)絡入侵檢測、數(shù)據(jù)防泄露、大數(shù)據(jù)分析、網(wǎng)關惡意代碼檢測等?!本W(wǎng)御星云網(wǎng)關產(chǎn)品線副總經(jīng)理沈潁介紹,這些不同的檢測防御思路也衍生出不同的技術和解決方案,比如基于白名單的終端安全檢測、基于沙箱的虛擬執(zhí)行技術、基于大數(shù)據(jù)分析的全網(wǎng)流量審計等。
“這些方案雖然有很多優(yōu)點,但是同樣也存在不足。比如白名單機制雖然能夠保證網(wǎng)絡的高性能,但是對未知威脅的檢測率低;基于沙箱的虛擬執(zhí)行技術雖然能夠對未知威脅具有較高的檢測成功率,但是又會影響網(wǎng)絡的性能;而基于大數(shù)據(jù)分析的全網(wǎng)流量審計雖然具有理論上的高檢測成功率,但其不易維護、存在實時防御能力弱的問題?!鄙驖}認為。
據(jù)了解,網(wǎng)御星云的APT防御解決方案實際上采用了網(wǎng)關加私有云安全中心的模式,通過網(wǎng)關與私有云安全中心的聯(lián)動來檢測和防御APT攻擊。沈潁告訴記者,網(wǎng)御星云的APT防御解決方案還結合了上述各種防御思路的優(yōu)勢。具體來說,該解決方案首先會基于本地的特征庫對經(jīng)過網(wǎng)關的流量進行惡意攻擊檢測,這些流量同時還會通過私有云安全中心的黑白名單檢測,并對可疑行為進行虛擬執(zhí)行,來檢測未知威脅。此外,私有云安全中心還具備動態(tài)學習、單點誘發(fā)和全網(wǎng)實時同步的能力?!霸谖覀兊慕鉀Q方案中,流量會依次經(jīng)過本地特征庫、黑白名單、可疑流量再進入沙箱并可以全網(wǎng)同步。通過層層過濾,先進行對性能影響較小的檢測,將范圍縮小后再將可以程序放到沙箱中運行。這樣既保證了較高的威脅檢測成功率,又保證了網(wǎng)絡的性能,同時還具有易于維護、實時防御能力較強的優(yōu)勢。”沈穎說。
整合形成優(yōu)勢
事實上,網(wǎng)御星云的APT解決方案雖然名為“網(wǎng)關級”,但是解決方案中的關鍵角色就是私有云安全中心,諸多檢測、虛擬執(zhí)行和同步功能,都需要在私有云安全中心中完成。解決方案需要網(wǎng)關與私有云安全中心的聯(lián)動與協(xié)同,而這也正是APT防御的精髓。
“我們可以用小區(qū)的安防作一個類比。通常的小區(qū)都會有監(jiān)控設備,也都有保安,但是,大多數(shù)情況下,保安都不可能通過監(jiān)控設備進行24小時的實時監(jiān)控,這就導致監(jiān)控設備淪為安全事件發(fā)生后的查詢和追溯工具。然而,如果保安和監(jiān)控設備能夠很好地聯(lián)動,監(jiān)控設備就能發(fā)揮更大的作用,就有可能實現(xiàn)實時的防御,做到安全事件發(fā)生前的防范?!鄙蚍f說。
十多年來,網(wǎng)御星云根據(jù)“安全需求為導向”的產(chǎn)品理念研發(fā)出了多款以用戶需求為導向的安全產(chǎn)品,從網(wǎng)絡融合型防火墻到業(yè)務融合型UTM安全網(wǎng)關再到防御融合型安全解決方案,而此次發(fā)布的APT解決方案更是其中的典型代表。
此外,網(wǎng)御星云與啟明星辰兩家國內(nèi)領先的安全廠商高度互補地整合,大大增強了網(wǎng)御星云網(wǎng)關級APT防御解決方案的技術和服務能力?!皢⒚餍浅皆谕{檢測方面占有優(yōu)勢,而網(wǎng)御星云則擅長于網(wǎng)關等邊界安全防護。借助啟明星辰的研發(fā)和技術能力,網(wǎng)御星云的APT防御解決方案爐火純青?!鄙蚍f告訴記者。
據(jù)沈穎介紹,該解決方案具備諸多技術亮點。一是具有0day/1day漏洞監(jiān)測能力。它可以對漏洞同時進行靜態(tài)和動態(tài)兩種方式的檢測,并能檢測已知和未知的漏洞。已知漏洞識別主要利用文檔格式解析,針對已知漏洞的格式信息構造條件進行檢測,目前已經(jīng)支持超過40種文檔格式溢出漏洞的識別;未知漏洞識別主要通過靜態(tài)啟發(fā)識別技術(通過對Shellcode的識別,從而對溢出類型的文檔進行靜態(tài)識別,最終檢測出未知漏洞)實現(xiàn)。對于特定漏洞可以給出相關的漏洞編號(例如CVE編號)。二是具有針對性的環(huán)境模擬能力。私有云安全中心采用虛擬化技術搭建,能夠對系統(tǒng)進行安全保護和快速恢復。同時,通過對虛擬機的負載均衡,它可并發(fā)分析多個任務,為可疑樣本的快速分析提供了有力保障。三是具有海量已知病毒識別能力。網(wǎng)御星云私有云安全中心擁有大于8000萬個樣本的海量知識庫,能夠實現(xiàn)對大量已知的惡意程序的快速過濾。
快速有效成本低
網(wǎng)絡攻防永無止境,因為其背后涉及巨大的政治利益和經(jīng)濟利益??梢灶A見,當傳統(tǒng)的攻擊手段逐漸被嚴防死守的時候,新興的攻擊方式將更多地用在具有特定目的、以獲取巨大價值為目標的惡意攻擊中。APT可能早已不只存在于對伊朗核設施的打擊中,它很有可能對國家的核心機構、政府部門、大型企業(yè)和經(jīng)濟命脈造成嚴重威脅,如果我們不能時刻繃緊這個弦,讓APT有了可乘之機,后果不堪設想。
“網(wǎng)御星云始終致力于為政府和大型企業(yè)的安全保駕護航。APT防御解決的推出,將更加有助于它們防御APT等更為隱蔽的、高等級的惡意攻擊?!鄙蚍f表示,“我們希望這些組織和機構能夠在自己的網(wǎng)絡內(nèi)構建私有云安全中心,從而實現(xiàn)私有云安全與網(wǎng)關的聯(lián)動。相較于其他的防護方式,這是目前來看最為快速有效、同時還能節(jié)約成本的防御體系。用戶可以根據(jù)自身的需求來定義防護的級別,從而在實現(xiàn)有效防御的同時,保障業(yè)務系統(tǒng)的順利運行?!?