2、主机应用保护类方案:该类方案主要覆盖APT攻击过程中的单点攻击突破和数据收集上传阶段。不管攻击者通过何种渠道向员工个人电脑发送恶意代码,这个恶意代码必须在员工个人电脑上执行才能控制整个电脑。因此,如果能够加强系统内各主机节点的安全措施,确保员工个人电脑以及服务器的安全,则可以有效防御APT攻击。很多做终端和服务器安全的厂商就是从这个角度入手来制定APT检测和防御方案的,典型代表厂商包括Bit9和趋势科技。
3、网络入侵检测类方案:该类方案主要覆盖APT攻击过程中的控制通道构建阶段,通过在网络边界处部署入侵检测系统来检测APT攻击的命令和控制通道。安全分析人员发现,虽然APT攻击所使用的恶意代码变种多且升级频繁,但恶意代码所构建的命令控制通道通信模式并不经常变化,因此,可以采用传统入侵检测方法来检测APT的命令控制通道。该类方案成功的关键是如何及时获取到各APT攻击手法的命令控制通道的检测特征。很多做入侵检测网关的厂商就是从这个角度入手来制定APT攻击防御方案的,典型代表厂商有启明星辰、飞塔等。
4、大数据分析检测类方案:该类方案并不重点检测APT攻击中的某个步骤,它覆盖了整个APT攻击过程。该类方案是一种网络取证思路,它全面采集各网络设备的原始流量以及各终端和服务器上的日志,然后进行集中的海量数据存储和深入分析,它可在发现APT攻击的一点蛛丝马迹后,通过全面分析这些海量数据来还原整个APT攻击场景。大数据分析检测方案因为涉及海量数据处理,因此需要构建大数据存储和分析平台,比较典型的大数据分析平台有Hadoop。很多做大数据分析和日志分析的厂商都是从这个角度入手来制定APT攻击检测防御方案的,典型的厂商有RSA和SOLERA。
典型APT检测和防御产品 FireEye恶意代码防御系统
FireEye可以说是本次RSA大会上最火的公司,它所推出的基于恶意代码防御引擎的APT检测和防御方案最引人瞩目。FireEye的APT安全解决方案包括MPS(Malware protection System)和CMS(Central Management System)两个组件,其中MPS是恶意代码防护引擎,它是一个高性能的智能沙箱,可直接采集网络流量,抽取所携带文件,然后放到沙箱中进行安全检测;CMS是集中管理系统模块,它管理系统中各MPS引擎,同时实现威胁情报的收集和及时分发。FireEye的MPS引擎有以下特点:1)支持对Web、邮件和文件共享三种来源的恶意代码检测;2)对于不同来源的恶意代码,采取专门MPS硬件进行专门处理,目的是提高检测性能和准确性;3)MPS支持除可执行文件之外的多达20种文件类型的恶意代码检测;4)MPS可支持旁路和串联部署,以实现恶意代码的检测和实时防护;5)MPS可实时学习恶意代码的命令和控制信道特征,在串联部署模式可以实时阻断APT攻击的命令控制通道。CMS除了对系统中多个MPS引擎进行集中管理外,还可以连接到云中的全球威胁情报网络来获取威胁情报,并支持将检测到的新型恶意代码情报上传到云中,以实现威胁情报的广泛共享。此外,FireEye还可以和其它日志分析产品结合起来,形成功能更强大的信息安全解决方案。FireEye被认为是APT安全解决方案的佼佼者,其产品被很多500强企业采购。
Bit9的可信安全平台
Bit9可信安全平台(Trust-based security Platform)使用了软件可信、实时检测审计和安全云三大技术,为企业网络提供网络可视、实时检测、安全保护和事后取证等四大安全功能,从而可以检测和抵御各种高级威胁和恶意代码。Bit9解决方案核心是一个基于策略的可信引擎,管理员可以通过安全策略来定义哪些软件是可信的。Bit9可信安全平台默认假设所有软件都是可疑和禁止加载执行的,只有那些符合安全策略定义的软件才被认为可信和允许执行。Bit9可以基于软件发布商和可信软件分发源等信息来定义软件的可信策略,同时,bit9还使用安全云中的软件信誉服务来度量软件可信度,从而允许用户下载和安装可信度较高的自由软件。这种基于安全策略的可信软件定义方案其实是实现了一个软件白名单,只有那些在软件白名单中的应用软件才可以在企业计算环境中执行,其它则是禁止执行的,从而保护企业的计算环境安全。Bit9解决方案还包括一个可安装在每个终端和服务器上的轻量级实时检测和审计模块,它是实现实时检测、安全防护和事后取证的关键部件。Bit9的实时检测和审计模块将帮助你获得对整个网络和计算环境的全面可视性,通过它你可以实时了解到各终端和服务器的设备状态和关键系统资源状态,可以看到各终端上的文件操作和软件加载执行情况;同时,实时检测和审计模块还审计终端上的文件进入渠道、文件执行、内存攻击,进程行为、注册表、外设挂载情况等等。Bit9解决方案还包括一个基于云的软件信誉服务,它通过主动抓取发布于互联网上的软件,基于软件发布时间、流行程度、软件发布商、软件来源以及AV扫描结果计算各软件信誉度。Bit9解决方案还支持从其它恶意代码检测厂商(比如FireEye)处获取文件哈希列表,从而可以识别更多的恶意代码和可疑文件。
