用户投稿“神秘的另类APT解决方案”这个说法本身就带有一定的模糊性和推测性。通常,APT(高级持续性威胁)攻击被认为是高度复杂、经过精心策划、具有长期潜伏能力的网络攻击活动,其“解决方案”也应该是同样复杂和专业的。
然而,如果我们从“另类”和“神秘”的角度来解读,可能探讨的是以下几个方面:
1. "非传统防御策略/工具:"
"基于AI/机器学习的异常检测:" 这可能被视为“另类”,因为它不依赖于已知的签名,而是通过学习正常行为模式来识别偏离常规的攻击活动。这类解决方案可能更“神秘”,因为其内部决策逻辑对非专业人士不透明。
"零信任架构(Zero Trust Architecture):" 强调“从不信任,始终验证”,要求对所有访问请求进行严格验证,无论来源何处。这种理念颠覆了传统“边界安全”的思维,可能被视为一种“另类”且“神秘”的防御哲学。
"蜜罐与蜜网(Honeypots & Honeynets):" 通过部署虚假的、有吸引力的系统或网络来诱骗攻击者,从而收集攻击者的信息、策略和工具,并可能对其进行限制或驱离。这是一种主动防御方式,其“诱捕”性质使其具有一定的“神秘感”。
"基于行为的分析(Behavioral Analytics):" 监控用户和设备的行为
相关内容:
2013年之后及未来很长一段时间,我们将面临的主要威胁除了木马之外,还包括定向攻击。大规模爆发的病毒逐渐在减少,但是我们并没有感受到越来越安全,相反,各种网络威胁变得越来越诡秘,它们的打击变得越来越定向,攻击目标也越来越多元,网络所面临的风险提升到了针对特定领域与特定机构的定向APT攻击。
主流APT解决方案对比分析
1、传统特征匹配+虚拟执行引擎。代表:Fireeye
基于行为异常的检测方法核心思想是通过沙箱(高级蜜罐)模拟运行环境,把未知程真实运行一遍,从程序工作的行为判断其合法性。
优点:判断准确性较高不易误判或漏判;
缺点:计算资源消耗比较大,部署成本较高;
2、基于白名单的终端安全检测方案。代表:Bit9
通过在公有云上部署的80亿条白名单库,对安装在用户终端上的终端软件提供注册服务,凡在白名单库里未注册过的文件均被终端禁止访问,同时其终端软件具有终端管理软件常见的属性,如移动设备控制、注册表保护等。
优点:节省了计算资源,部署成本低;
缺点:不够灵活,根据事先定义的特征,很有可能导致阻断合法应用;
3、私有云解决方案。代表:网御星云、Fortinet
网御星云私有云解决方案通过系统智能集成的海量黑白名单、规模化虚拟机动态鉴定等,对文件是否包括恶意行为进行判定,形成自动化分析报告,并与安全网关进行联动,在不影响转发性能的前提下大幅增强安全网关的检测能力。
优点:节省了安全网关的计算资源,检测准确性较高不易误判或漏判,结合网关部署方式较灵活。
私有云解决方案 Vs 极光攻击
2009-2010年,Google等20多家公司遭受了极光攻击。攻击者利用了IE的0day漏洞、十多种恶意代码和多层次的加密避免被发现。
我们还原了攻击者的攻击步骤,如下图所示:
“极光”攻击步骤
无论如何,攻击者需要一个突破点。当被渗透目标踏入攻击者设立的圈套时,IE浏览器的0day漏洞被恶意代码利用,下载攻击者精心构造的、可以轻松骗过杀毒引擎的程序。
以前,传统网关、杀毒软件在检测该恶意程序时,多是特征扫描;而攻击被发现之前安全厂商又不可能获取样本,更不可能将该恶意程序的特征更新到威胁特征库中(事实上直到2010年1月份,Google公开了此事后特征才被众多厂家获取),安全防范总是滞后的。
如果我们在网络中使用了网御星云私有云解决方案,结果又会如何呢?
首先我们在网络传输过程中由安全网关捕获到了该程序,经过安全网关本地初步判断,无法确定该程序就是安全的。接下来将该程序送到私有云防御中心,进行动态行为分析。
观察该程序的所有行为,其中至少有三个行为是高度可疑的:
1、连续下载加密的程序;
2、删除自身;
3、构建后门,发起反向连接。
新下载的加密程序仍会运行起来进行动态行为分析,其中有很多特殊的行为都存在危害性,如释放PE文件、获取敏感信息、隐藏文件、添加服务等。通过将分析结果与安全网关联动,足以引起管理员的重视,从而将威胁消灭在初始阶段。
【关注微信公众号,微信搜:中国软件资讯网】【关注微信公众号,微信搜:CNIT观察】
微信扫一扫打赏
支付宝扫一扫打赏
