本篇文章5300字,读完约13分钟
北京-07-23 (中国商业电信)---摘要:本文回顾了整个apt攻击过程,对rsa大会上展示的apt安全处理方案进行了分类,并对有代表性的厂商的apt安全处理方案进行了一些介绍,最后提出了启明星辰的建议。
今年全球知名新闻安全峰会rsa共有350家安全制造商参展,制造商数量超过了过去的rsa年会。 仅从技术热点来看,这两年rsa峰会的热点变化不大,仍然以数据安全、公司安全管理、法规遵从性、APP安全、dlp等热点为中心
apt攻击是近年来出现的高级攻击,具有难以检测、持续时间长、攻击目标确定等特点。 以前流传的基于攻击特征的入侵检测和防御方法,对apt的检测和防御效果不大。 为此,各安全厂商研究了新的做法,提出了多种多样的处理方案。 笔者在今年的rsa峰会现场收集整理了各安全厂商推进的apt安全处理方案。 下面,首先回顾整个apt攻击流程,对apt安全处理方案进行分类,稍微介绍一下有代表性的厂商的apt安全处理方案,最后给出我们的建议。
apt攻击过程分解[/BR/] [/BR/]整个apt攻击过程包括定向信息收集、单点攻击突破、控制通道构建、内部横向渗透和数据收集植入等步骤。
1、定向信息收集,即攻击者具有对比性的新闻收集做法很多,包括网络隐蔽扫描和社会工程的做法等。 从目前发现的apt攻击方法来看,大部分apt攻击都是从组织的员工开始的。 因此,攻击者收集员工微博、博客等组织员工的新闻,了解他们的社会关系及其兴趣,通过社会工程学方法攻击该员工的电脑,从而访问组织的互联网。
2、单点攻击突破,即攻击者收集到足够的新闻后,使用恶意代码攻击组织员工的电脑。 攻击方法有:1)用邮件将含有恶意代码的文件附件发送给工作人员,工作人员打开附件时,工作人员的电脑感染了恶意代码的社会工程学方法2 )远程漏洞攻击的做法。 例如,如果员工在经常访问的网站上放置网络木马,然后员工访问该网站,则会受到网络代码的攻击。 rsa公司去年发现的水锋攻击( watering hole )使用了这种攻击方式。 这些恶意代码经常攻击系统中未知的漏洞,不注意现有的病毒防护和个人防火墙安全工具,最终导致员工的个人计算机感染恶意代码,完全受攻击者控制。
3、控制通道的建立,即攻击者控制员工的电脑后,需要建立某种通道与攻击者取得联系,以获得进一步的攻击指令。 攻击者创建从被控制个体的计算机到攻击者控制服务器之间的命令控制通道。 该指挥控制通道目前多使用http协议构建,以突破组织的防火墙,与高级指挥控制通道相比,使用https协议构建。
4、内部横向渗透,通常情况下,攻击者首先突破的员工的电脑并不是攻击者感兴趣的,而是其他服务器感兴趣,包括组织内的重要资产。 因此,攻击者以员工的电脑为立足点,对系统内部进行横向渗透,攻击越来越多的pc和服务器。 攻击者进行的横向渗透方法包括密码窃听和漏洞攻击等。 (/br/) )/br/) 5、已收集数据。 也就是说,攻击者在内部横向渗透和长时间潜伏的过程中,会有意识地收集、压缩、加密、打包各服务器上的重要数据资产,并通过某个隐藏的数据通道将数据返回给攻击者。
apt检测和防御方案的分类
纵观整个apt攻击过程,会发现攻击者用恶意代码单点攻击突破员工电脑,攻击者内部横向渗透, 目前的apt攻击检测和防御方案实际上是以这些步骤为中心展开的。 整理了这次rsa大赛收集的apt检测和防御方案,根据它们涵盖的apt攻击阶段,分为以下4类。
1、恶意代码检测系统方案:这类方案首要覆盖apt攻击过程中的单点攻击突破阶段,它检测apt攻击过程中的恶意代码传递过程。 大多数apt攻击都用恶意代码攻击员工的电脑,以突破目标互联网和系统的防御措施。 因此,恶意代码检测对于检测和防御apt攻击至关重要。 许多进行恶意代码检测的安全制造商都从恶意代码检测中制定了apt检测和防御方案。 典型的制造商是fireeye和gfi软件。 (/br/) )/br/) 2、主机APP保护类方案)这类方案主要涵盖apt攻击过程中的单点攻击突破和数据收集植入阶段。 无论攻击者通过什么途径向员工的电脑发送恶意代码,这个恶意代码都必须在员工的电脑上执行才能控制整个电脑。 这是因为,如果能够加强系统内各主机节点的安全对策,确保员工个人电脑和服务器的安全,就能够比较有效地防御apt攻击。 许多保护终端和服务器安全的制造商都从这个角度制定了apt检测和防御方案。 典型的制造商是bit9和趋势科技。
3、互联网入侵检测类方案:该类方案主要涵盖了apt攻击中的控制信道构建阶段,通过在互联网边界部署入侵检测系统来检测apt攻击的指令和控制信道。 安全分析人员发现,apt攻击中采用的恶意代码变种较多,经常升级,但用恶意代码构建的指挥控制信道的通信模式变化不大。 这是因为,由此可以使用以前传递的入侵检测方法来检测apt的命令控制信道。 该类计划成功的关键是如何及时获取各apt攻击方法的命令控制信道的检测特征。 很多生产入侵检测网关的制造商都是从这个角度制定apt攻击防御方案的。 典型的制造商有启明星辰、飞塔等。
4、大数据观察检测系统方案:该类方案不对apt攻击中的某一步进行定点检测,涵盖了整个apt攻击过程。 这种方式是网络取证的思路,全面收集各网络设备的原始流量和各终端和服务器上的日志,集中大量数据的存储和深入分解。 发现apt攻击线索后,通过全面分解这些大量数据可以恢复整个apt攻击场景。 由于大数据观察检测方案涉及大量的数据解决,因此需要构建大数据存储和分解平台,比较典型的大数据观察平台是hadoop。 许多观察大数据和分解日志的制造商都从这个角度制定了apt攻击检测防御方案。 典型的制造商是rsa和solera。 / BR// BR// BR /典型的apt检测和防御产品[/BR/] Fire eye恶意代码防御系统[/BR/]/BR/] Fire eye是本届rsa大赛最受欢迎的企业, 可以说提供基于恶意代码防御引擎的apt检测和防御的fireeye的apt安全处理方案有MPS ( MPS )和CMS )中央管理系统( CMS )两个控制台 其中,MPs是恶意代码防护引擎,是高性能的智能沙箱,能够直接收集互联网流量和提取手机文件的cms是集中管理系统模块,管理和威胁系统中的各个MPs引擎 fireeye的mps引擎支持以下三个来源的恶意代码检测:1) web、邮件和文件共享; 2 )针对不同来源的恶意代码,采用专用的mps硬件进行专用解决,目的是提高检测性能和准确性; 3 ) mps支持执行文件以外的最多20种文件类型的恶意代码检测; 4 ) mps支持旁路和级联部署,可以实现恶意代码的检测和实时防护; 5 ) mps可以实时学习恶意代码的指挥和控制信道特征,在级联部署模式下可以实时屏蔽apt攻击的指挥控制信道。 cms除了集中管理系统内的多个mps引擎外,还可以连接到云内的全球威胁信息互联网获取威胁信息,或将检测到的新的恶意代码信息注册到云中以支持威胁信息的广泛共享。 此外,fireeye还可以与其他日志分解产品组合,形成更强有力的新闻安全处理方案。 fireeye被认为是apt安全处理计划的领导者,其产品从许多500家公司购买。 / br/
位9的可信安全平台
位9的可信安全平台 以及采用安全云三种技术,为公司互联网提供互联网可见性、实时检测的bit9处理方案的核心是基于策略的可靠引擎,管理员使用安全策略将这些软件 在bit9可靠的安全平台中,默认情况下所有软件都是可疑的,并且只有符合安全策略定义的软件才被允许执行 在bit9中,可以根据软件发行商和可靠软件的来源等新闻定义软件的可靠性策略。 bit9还使用安全云中的软件信誉服务来测量软件的可靠性,以便可以下载和安装可靠的自由软件。 基于这种安全策略的可靠的软件定义方案实际上实现了软件白名单,使得在企业的计算环境中只能执行软件白名单中包含的APP,而不能执行其他 bit9的处理方式还包括可安装在各终端和服务器上的轻量级实时检测和鉴定模块,是实现实时检测、安全保护和事后取证的重要部件。 bit9的实时检测和测控模块有助于获得对整个网络和计算环境的全面可视性,通过它可以实时掌握各终端和服务器的设备状态和重要的系统资源状态,查看各终端的文件操作和软件负载的执行情况; 此外,实时检测和身份验证模块还会对终端上文件的根目录访问、文件执行、内存攻击、进程行为、注册表、外围设备的安装情况等进行身份验证。 bit9处理程序还包括基于云的软件信誉服务。 它通过积极捕获网络上发布的软件,根据软件发布时间、普及程度、软件发布源、软件源和av扫描结果计算各软件的美誉度。 bit9的处理方式还支持从其他恶意代码检测供应商(如fireeye )获取文件哈希表,从而可以识别越来越多的恶意代码和可疑文件。 / BR// BR /趋势微深度发现[/BR/]趋势微深度发现是专门为apt攻击检测设计的,使用互联网入侵检测技术进行apt 另外,通过在入侵检测引擎中引入恶意代码检测沙箱,也可以检测apt攻击。deep discovery方案包括检查、分解、调整、响应四个步骤。 产品形态包括检查器和顾问两个组件。 监察员是互联网入侵检测引擎,根据获取的威胁信息新闻检测apt攻击中的指挥控制信道。 监察员通过advisor及时获取趋势科技全球威胁信息新闻,并能及时检测到新的apt攻击命令控制通道; 检查器还包括虚拟分析器组件,该组件是一个智能沙箱,用于分解捕获的恶意代码。 apsor是用于集中管理每个检查器引擎的管理组件。 它还包括可选的恶意代码分解引擎,可以从检测引擎接收恶意代码,从而实现恶意代码的集中分解。 另外,advisor还承担了威胁信息的实时收集和每个人的工作,实现了各检测仪引擎之间威胁信息的广泛共享。
rsa的net witness
rsanetwitness是一个创新的互联网安全监控平台,可以随时在互联网上访问互联网 rsa netwitness是一系列软件的集合,比较apt攻击的检测和防御,主要由spectrum、panorama、live三个主要组件实现。 其中,rsa netwitness spectrum是一种基于恶意软件的用于识别和分解公司互联网安全威胁,明确安全威胁优先级的安全分解软件。 rsa netwitness panorama通过整合数百个日志数据源和外部安全威胁信息,可以实现创新的新闻安全拆解; rsa netwitness live是一种高级威胁信息服务,通过利用来自全球新闻安全界的集体智慧和分解技能,可以及时获取各apt攻击的威胁信息新闻,大大缩短了应对潜在安全威胁的时间 rsa netwitness将集中拆除所有互联网流量和各互联网服务对象的离散事务,实现对互联网的全面可见性,从而实现网络的整体安全态势2 )识别各种内部威胁,并将其纳入腾讯 可以检测各种定向设计的恶意代码,检测各种apt攻击和数据泄露3 )在实时上下文中智能分解捕获的互联网和日志数据, 可以为公司提供可行动的安全信息新闻4 )利用netwitness监控平台的可扩展性和强大的分解能力,使流程自动化,从而缩短安全事件的响应时间,尽快调整不断变化的安全威胁。
纵观参加RSA大赛的主流apt攻击检测和方案,结果表明,目前各厂商推出的apt检测防御方法存在一定限制,第一,许多apt攻击检测和防御方案只能覆盖到apt攻击的某个阶段, 许多apt安全方案只能检测到apt攻击,不提供必要的apt攻击实时防御能力。 我们认为理想的apt安全措施方案应该涵盖apt攻击的所有攻击阶段。 也就是说,apt安全防范方案应该包括事前、事件中、事后三个处置阶段,有可能全面检测和防御apt攻击。 理想的apt安全处理方案并应具有检测和实时防御能力,将大数据观察和入侵检测防御技术结合起来,大数据智能分辨率平台应是apt安全处理方案的核心,实现apt攻击事件的事后分解和信息获取; 另外,还应该结合测控APP、实时恶意代码检测、互联网入侵防御等技术,实现对apt攻击的时间检测和防御。 各apt安全制造商也观察到了这一问题,开始通过合作或完善的技术方法来改进apt检测和防御方案,以弥补其不足。 例如,junior和rsa最近宣布将在威胁信息共享方面签订合作协议。 junior的安全产品采用rsa netwitness live提供的安全威胁信息新闻,可以提高安全网络整体的检测能力。 bit9可靠的安全平台可以与fireeye产品集成,利用fireeye高性能智能沙箱和数以亿计的恶意代码库识别恶意代码,更有效地确保主机终端的安全。 fireeye的恶意代码防御引擎可以与第三方安全问题分析平台( siem )集成,实现apt攻击的事后分析和取证。 (启明星辰叶润国) )。
来源:企业信息港
标题:“四类APT安全处理方案面面观”
地址:http://www.quanhenglawyer.com/qyzx/3062.html