APT攻擊是近幾年來出現(xiàn)的一種高級(jí)攻擊，具有難檢測(cè)、持續(xù)時(shí)間長(zhǎng)和攻擊目標(biāo)明確等特征。傳統(tǒng)基于攻擊特征的入侵檢測(cè)和防御方法在檢測(cè)和防御APT方面效果很不理想，因此，各安全廠商都在研究新的方法并提出了多種多樣的解決方案。筆者在今年RSA峰會(huì)現(xiàn)場(chǎng)收集了各安全廠商所宣傳的APT安全解決方案并進(jìn)行了梳理。在下文中，我們先回顧一下整個(gè)APT攻擊過程，對(duì)APT安全解決方案進(jìn)行分類，再介紹一些代表性廠商的APT安全解決方案，最后給出我們的建議。

 

    APT攻擊過程分解

 

    整個(gè)APT攻擊過程包括定向情報(bào)收集、單點(diǎn)攻擊突破、控制通道構(gòu)建、內(nèi)部橫向滲透和數(shù)據(jù)收集上傳等步驟：

 

    1、定向情報(bào)收集，即攻擊者有針對(duì)性的搜集特定組織的網(wǎng)絡(luò)系統(tǒng)和員工信息。信息搜集方法很多，包括網(wǎng)絡(luò)隱蔽掃描和社會(huì)工程學(xué)方法等。從目前所發(fā)現(xiàn)的APT攻擊手法來看，大多數(shù)APT攻擊都是從組織員工入手，因此，攻擊者非常注意搜集組織員工的信息，包括員工的微博、博客等，以便了解他們的社會(huì)關(guān)系及其愛好，然后通過社會(huì)工程方法來攻擊該員工電腦，從而進(jìn)入組織網(wǎng)絡(luò)。

 

    2、單點(diǎn)攻擊突破，即攻擊者收集了足夠的信息后，采用惡意代碼攻擊組織員工的個(gè)人電腦，攻擊方法包括：1）社會(huì)工程學(xué)方法，如通過email給員工發(fā)送包含惡意代碼的文件附件，當(dāng)員工打開附件時(shí)，員工電腦就感染了惡意代碼；2）遠(yuǎn)程漏洞攻擊方法，比如在員工經(jīng)常訪問的網(wǎng)站上放置網(wǎng)頁(yè)木馬，當(dāng)員工訪問該網(wǎng)站時(shí)，就遭受到網(wǎng)頁(yè)代碼的攻擊，RSA公司去年發(fā)現(xiàn)的水坑攻擊（Wateringhole）就是采用這種攻擊方法。這些惡意代碼往往攻擊的是系統(tǒng)未知漏洞，現(xiàn)有殺毒和個(gè)人防火墻安全工具無法察覺，最終結(jié)果是，員工個(gè)人電腦感染惡意代碼，從而被攻擊者完全控制。

 

    3、控制通道構(gòu)建，即攻擊者控制了員工個(gè)人電腦后，需要構(gòu)建某種渠道和攻擊者取得聯(lián)系，以獲得進(jìn)一步攻擊指令。攻擊者會(huì)創(chuàng)建從被控個(gè)人電腦到攻擊者控制服務(wù)器之間的命令控制通道，這個(gè)命令控制通道目前多采用HTTP協(xié)議構(gòu)建，以便突破組織的防火墻，比較高級(jí)的命令控制通道則采用HTTPS協(xié)議構(gòu)建。

 

    4、內(nèi)部橫向滲透，一般來說，攻擊者首先突破的員工個(gè)人電腦并不是攻擊者感興趣的，它感興趣的是組織內(nèi)部其它包含重要資產(chǎn)的服務(wù)器，因此，攻擊者將以員工個(gè)人電腦為跳板，在系統(tǒng)內(nèi)部進(jìn)行橫向滲透，以攻陷更多的PC和服務(wù)器。攻擊者采取的橫向滲透方法包括口令竊聽和漏洞攻擊等。

 

    5、數(shù)據(jù)收集上傳，即攻擊者在內(nèi)部橫向滲透和長(zhǎng)期潛伏過程中，有意識(shí)地搜集各服務(wù)器上的重要數(shù)據(jù)資產(chǎn)，進(jìn)行壓縮、加密和打包，然后通過某個(gè)隱蔽的數(shù)據(jù)通道將數(shù)據(jù)傳回給攻擊者。

 

    APT檢測(cè)和防御方案分類

 

    縱觀整個(gè)APT攻擊過程發(fā)現(xiàn)，有幾個(gè)步驟是APT攻擊實(shí)施的關(guān)鍵，包括攻擊者通過惡意代碼對(duì)員工個(gè)人電腦進(jìn)行單點(diǎn)攻擊突破、攻擊者的內(nèi)部橫向滲透、通過構(gòu)建的控制通道獲取攻擊者指令，以及最后的敏感數(shù)據(jù)外傳等過程。當(dāng)前的APT攻擊檢測(cè)和防御方案其實(shí)都是圍繞這些步驟展開。我們把本屆RSA大會(huì)上收集到的APT檢測(cè)和防御方案進(jìn)行了整理，根據(jù)它們所覆蓋的APT攻擊階段不同，將它們分為以下四類：

 

    1、惡意代碼檢測(cè)類方案：該類方案主要覆蓋APT攻擊過程中的單點(diǎn)攻擊突破階段，它是檢測(cè)APT攻擊過程中的惡意代碼傳播過程。大多數(shù)APT攻擊都是通過惡意代碼來攻擊員工個(gè)人電腦，從而來突破目標(biāo)網(wǎng)絡(luò)和系統(tǒng)防御措施的，因此，惡意代碼檢測(cè)對(duì)于檢測(cè)和防御APT攻擊至關(guān)重要。很多做惡意代碼檢測(cè)的安全廠商就是從惡意代碼檢測(cè)入手來制定其APT檢測(cè)和防御方案的，典型代表廠商包括FireEye和GFISoftware。

 

    2、主機(jī)應(yīng)用保護(hù)類方案：該類方案主要覆蓋APT攻擊過程中的單點(diǎn)攻擊突破和數(shù)據(jù)收集上傳階段。不管攻擊者通過何種渠道向員工個(gè)人電腦發(fā)送惡意代碼，這個(gè)惡意代碼必須在員工個(gè)人電腦上執(zhí)行才能控制整個(gè)電腦。因此，如果能夠加強(qiáng)系統(tǒng)內(nèi)各主機(jī)節(jié)點(diǎn)的安全措施，確保員工個(gè)人電腦以及服務(wù)器的安全，則可以有效防御APT攻擊。很多做終端和服務(wù)器安全的廠商就是從這個(gè)角度入手來制定APT檢測(cè)和防御方案的，典型代表廠商包括Bit9和趨勢(shì)科技。

 

    3、網(wǎng)絡(luò)入侵檢測(cè)類方案：該類方案主要覆蓋APT攻擊過程中的控制通道構(gòu)建階段，通過在網(wǎng)絡(luò)邊界處部署入侵檢測(cè)系統(tǒng)來檢測(cè)APT攻擊的命令和控制通道。安全分析人員發(fā)現(xiàn)，雖然APT攻擊所使用的惡意代碼變種多且升級(jí)頻繁，但惡意代碼所構(gòu)建的命令控制通道通信模式并不經(jīng)常變化，因此，可以采用傳統(tǒng)入侵檢測(cè)方法來檢測(cè)APT的命令控制通道。該類方案成功的關(guān)鍵是如何及時(shí)獲取到各APT攻擊手法的命令控制通道的檢測(cè)特征。很多做入侵檢測(cè)網(wǎng)關(guān)的廠商就是從這個(gè)角度入手來制定APT攻擊防御方案的，典型代表廠商有啟明星辰、飛塔等。

 

    4、大數(shù)據(jù)分析檢測(cè)類方案：該類方案并不重點(diǎn)檢測(cè)APT攻擊中的某個(gè)步驟，它覆蓋了整個(gè)APT攻擊過程。該類方案是一種網(wǎng)絡(luò)取證思路，它全面采集各網(wǎng)絡(luò)設(shè)備的原始流量以及各終端和服務(wù)器上的日志，然后進(jìn)行集中的海量數(shù)據(jù)存儲(chǔ)和深入分析，它可在發(fā)現(xiàn)APT攻擊的一點(diǎn)蛛絲馬跡后，通過全面分析這些海量數(shù)據(jù)來還原整個(gè)APT攻擊場(chǎng)景。大數(shù)據(jù)分析檢測(cè)方案因?yàn)樯婕昂Ａ繑?shù)據(jù)處理，因此需要構(gòu)建大數(shù)據(jù)存儲(chǔ)和分析平臺(tái)，比較典型的大數(shù)據(jù)分析平臺(tái)有Hadoop。很多做大數(shù)據(jù)分析和日志分析的廠商都是從這個(gè)角度入手來制定APT攻擊檢測(cè)防御方案的，典型的廠商有RSA和SOLERA。

 

    典型APT檢測(cè)和防御產(chǎn)品

    FireEye惡意代碼防御系統(tǒng)

 

    FireEye可以說是本次RSA大會(huì)上最火的公司，它所推出的基于惡意代碼防御引擎的APT檢測(cè)和防御方案最引人矚目。FireEye的APT安全解決方案包括MPS（MalwareprotectionSystem）和CMS（CentralManagement System）兩個(gè)組件，其中MPS是惡意代碼防護(hù)引擎，它是一個(gè)高性能的智能沙箱，可直接采集網(wǎng)絡(luò)流量，抽取所攜帶文件，然后放到沙箱中進(jìn)行安全檢測(cè)；CMS是集中管理系統(tǒng)模塊，它管理系統(tǒng)中各MPS引擎，同時(shí)實(shí)現(xiàn)威脅情報(bào)的收集和及時(shí)分發(fā)。FireEye的MPS引擎有以下特點(diǎn)：1）支持對(duì)Web、郵件和文件共享三種來源的惡意代碼檢測(cè)；2）對(duì)于不同來源的惡意代碼，采取專門MPS硬件進(jìn)行專門處理，目的是提高檢測(cè)性能和準(zhǔn)確性；3）MPS支持除可執(zhí)行文件之外的多達(dá)20種文件類型的惡意代碼檢測(cè)；4）MPS可支持旁路和串聯(lián)部署，以實(shí)現(xiàn)惡意代碼的檢測(cè)和實(shí)時(shí)防護(hù)；5）MPS可實(shí)時(shí)學(xué)習(xí)惡意代碼的命令和控制信道特征，在串聯(lián)部署模式可以實(shí)時(shí)阻斷APT攻擊的命令控制通道。CMS除了對(duì)系統(tǒng)中多個(gè)MPS引擎進(jìn)行集中管理外，還可以連接到云中的全球威脅情報(bào)網(wǎng)絡(luò)來獲取威脅情報(bào)，并支持將檢測(cè)到的新型惡意代碼情報(bào)上傳到云中，以實(shí)現(xiàn)威脅情報(bào)的廣泛共享。此外，F(xiàn)ireEye還可以和其它日志分析產(chǎn)品結(jié)合起來，形成功能更強(qiáng)大的信息安全解決方案。FireEye被認(rèn)為是APT安全解決方案的佼佼者，其產(chǎn)品被很多500強(qiáng)企業(yè)采購(gòu)。

 

    Bit9的可信安全平臺(tái)

 

    Bit9可信安全平臺(tái)(Trust-basedsecurityPlatform)使用了軟件可信、實(shí)時(shí)檢測(cè)審計(jì)和安全云三大技術(shù),為企業(yè)網(wǎng)絡(luò)提供網(wǎng)絡(luò)可視、實(shí)時(shí)檢測(cè)、安全保護(hù)和事后取證等四大安全功能，從而可以檢測(cè)和抵御各種高級(jí)威脅和惡意代碼。Bit9解決方案核心是一個(gè)基于策略的可信引擎，管理員可以通過安全策略來定義哪些軟件是可信的。Bit9可信安全平臺(tái)默認(rèn)假設(shè)所有軟件都是可疑和禁止加載執(zhí)行的，只有那些符合安全策略定義的軟件才被認(rèn)為可信和允許執(zhí)行。Bit9可以基于軟件發(fā)布商和可信軟件分發(fā)源等信息來定義軟件的可信策略，同時(shí)，bit9還使用安全云中的軟件信譽(yù)服務(wù)來度量軟件可信度，從而允許用戶下載和安裝可信度較高的自由軟件。這種基于安全策略的可信軟件定義方案其實(shí)是實(shí)現(xiàn)了一個(gè)軟件白名單，只有那些在軟件白名單中的應(yīng)用軟件才可以在企業(yè)計(jì)算環(huán)境中執(zhí)行，其它則是禁止執(zhí)行的，從而保護(hù)企業(yè)的計(jì)算環(huán)境安全。Bit9解決方案還包括一個(gè)可安裝在每個(gè)終端和服務(wù)器上的輕量級(jí)實(shí)時(shí)檢測(cè)和審計(jì)模塊，它是實(shí)現(xiàn)實(shí)時(shí)檢測(cè)、安全防護(hù)和事后取證的關(guān)鍵部件。Bit9的實(shí)時(shí)檢測(cè)和審計(jì)模塊將幫助你獲得對(duì)整個(gè)網(wǎng)絡(luò)和計(jì)算環(huán)境的全面可視性，通過它你可以實(shí)時(shí)了解到各終端和服務(wù)器的設(shè)備狀態(tài)和關(guān)鍵系統(tǒng)資源狀態(tài)，可以看到各終端上的文件操作和軟件加載執(zhí)行情況；同時(shí)，實(shí)時(shí)檢測(cè)和審計(jì)模塊還審計(jì)終端上的文件進(jìn)入渠道、文件執(zhí)行、內(nèi)存攻擊，進(jìn)程行為、注冊(cè)表、外設(shè)掛載情況等等。Bit9解決方案還包括一個(gè)基于云的軟件信譽(yù)服務(wù)，它通過主動(dòng)抓取發(fā)布于互聯(lián)網(wǎng)上的軟件，基于軟件發(fā)布時(shí)間、流行程度、軟件發(fā)布商、軟件來源以及AV掃描結(jié)果計(jì)算各軟件信譽(yù)度。Bit9解決方案還支持從其它惡意代碼檢測(cè)廠商（比如FireEye）處獲取文件哈希列表，從而可以識(shí)別更多的惡意代碼和可疑文件。

 

    趨勢(shì)科技DeepDiscovery

 

    趨勢(shì)科技的DeepDiscovery專門為APT攻擊檢測(cè)而設(shè)計(jì)，它采用網(wǎng)絡(luò)入侵檢測(cè)技術(shù)來檢測(cè)APT攻擊的命令控制通道，同時(shí)，還可以通過在入侵檢測(cè)引擎上部署惡意代碼檢測(cè)沙箱來彌補(bǔ)傳統(tǒng)特征攻擊檢測(cè)的不足。DeepDiscovery方案包括檢測(cè)、分析、調(diào)整、響應(yīng)四個(gè)步驟。產(chǎn)品形態(tài)上包括Inspector和Advisor兩個(gè)組件。Inspector是個(gè)網(wǎng)絡(luò)入侵檢測(cè)引擎，依據(jù)獲取的威脅情報(bào)信息來檢測(cè)APT攻擊過程中的命令控制通道，Inspector可以通過Advisor及時(shí)獲取到趨勢(shì)科技的全球威脅情報(bào)信息，以便及時(shí)檢測(cè)到各種新型的APT攻擊命令控制通道；同時(shí)，Inspector還包括一個(gè)VirtualAnalyzer組件，它是一個(gè)智能沙箱，用來分析捕獲的惡意代碼。Adivsor為一個(gè)管理組件，可以實(shí)現(xiàn)對(duì)各Inspector引擎的集中管理；同時(shí)，它還包括一個(gè)可選的惡意代碼分析引擎，可以接收來自檢測(cè)引擎的惡意代碼，從而實(shí)現(xiàn)惡意代碼的集中分析；此外，Advisor還承擔(dān)了威脅情報(bào)的實(shí)時(shí)收集和分發(fā)工作，以實(shí)現(xiàn)各Inspector引擎之間威脅情報(bào)的廣泛共享。

 

    RSA的NetWitness

 

    RSANetWitness是一款革命性的網(wǎng)絡(luò)安全監(jiān)控平臺(tái)，它可為企業(yè)提供發(fā)生在網(wǎng)絡(luò)中任何時(shí)間的網(wǎng)絡(luò)安全態(tài)勢(shì)，從而協(xié)助企業(yè)解決多種類型的信息安全挑戰(zhàn)。RSANetWitness是一組軟件集合，針對(duì)APT攻擊的檢測(cè)和防御則主要由Spectrum、Panorama和Live三大組件實(shí)現(xiàn)，其中，RSA NetWitness Spectrum是一款安全分析軟件，專門用來識(shí)別和分析基于惡意軟件的企業(yè)網(wǎng)絡(luò)安全威脅，并確定安全威脅的優(yōu)先級(jí)；RSA NetWitness Panorama通過融合成百上千種日志數(shù)據(jù)源與外部安全威脅情報(bào)，從而可可以實(shí)現(xiàn)創(chuàng)新性信息安全分析；RSA NetWitness Live是一種高級(jí)威脅情報(bào)服務(wù)，通過利用來自全球信息安全界的集體智慧和分析技能，可以及時(shí)獲得各APT攻擊的威脅情報(bào)信息，極大縮短了針對(duì)潛在安全威脅的響應(yīng)時(shí)間。RSA NetWitness具有以下特點(diǎn)：1）可對(duì)所有網(wǎng)絡(luò)流量和各網(wǎng)絡(luò)服務(wù)對(duì)象的離散事件進(jìn)行集中分析，實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)的全面可視性，從而獲得整個(gè)網(wǎng)絡(luò)的安全態(tài)勢(shì)；2）可以識(shí)別各種內(nèi)部威脅、檢測(cè)零日漏洞攻擊、檢測(cè)各種定向設(shè)計(jì)的惡意代碼和檢測(cè)各種APT攻擊事件和數(shù)據(jù)泄密事件；3）可對(duì)所捕獲的網(wǎng)絡(luò)和日志數(shù)據(jù)進(jìn)行實(shí)時(shí)上下文智能分析，從而為企業(yè)提供可行動(dòng)的安全情報(bào)信息；4）可以借助NetWitness監(jiān)控平臺(tái)的可擴(kuò)展性和強(qiáng)大分析能力來實(shí)現(xiàn)過程自動(dòng)化，從而減少安全事件響應(yīng)時(shí)間，并對(duì)變化的安全威脅做出及時(shí)調(diào)整。

 

    縱觀RSA2013大會(huì)上參展的主流APT攻擊檢測(cè)和方案后發(fā)現(xiàn)，目前各廠家所推出的APT檢測(cè)防御方法都具有一定的局限性，主要表現(xiàn)為：很多APT攻擊檢測(cè)和防御方案都只能覆蓋到APT攻擊的某個(gè)階段，從而可能導(dǎo)致漏報(bào)；很多APT安全解決方案只能檢測(cè)APT攻擊，并沒有提供必要的APT攻擊實(shí)時(shí)防御能力。我們認(rèn)為，理想的APT安全解決方案應(yīng)該覆蓋APT攻擊的所有攻擊階段，也就是說，我們的APT安全解決方案應(yīng)該包括事前、事中和事后三個(gè)處置階段，從而可能全面的檢測(cè)和防御APT攻擊。理想APT安全解決方案應(yīng)該同時(shí)具有檢測(cè)和實(shí)時(shí)防御能力，大數(shù)據(jù)分析和入侵檢測(cè)防御技術(shù)相結(jié)合，大數(shù)據(jù)智能分析平臺(tái)應(yīng)該是APT安全解決方案的核心，實(shí)現(xiàn)對(duì)APT攻擊事件的事后分析和情報(bào)獲?。煌瑫r(shí)，還應(yīng)該配合主機(jī)應(yīng)用控制、實(shí)時(shí)惡意代碼檢測(cè)和網(wǎng)絡(luò)入侵防御等技術(shù)，以實(shí)現(xiàn)對(duì)APT攻擊的時(shí)間檢測(cè)和防御。各APT安全廠商也已經(jīng)注意到這個(gè)問題，開始通過合作或者完善自身技術(shù)方法來改進(jìn)自己的APT檢測(cè)和防御方案，以彌補(bǔ)其不足，比如，Junior和RSA近期宣布在威脅情報(bào)共享上達(dá)成合作協(xié)議，Junior的安全產(chǎn)品可以使用RSANetWitnessLive提供的安全威脅情報(bào)信息，從而提升其安全網(wǎng)關(guān)的檢測(cè)能力；Bit9的可信安全平臺(tái)可以和FireEye產(chǎn)品集成，利用FireEye高性能智能沙箱和上億的惡意代碼庫(kù)識(shí)別惡意代碼，從而更有效地保障主機(jī)終端的安全；FireEye的惡意代碼防御引擎可以和第三方的安全事件分析平臺(tái)（SIEM）進(jìn)行集成，從而可以實(shí)現(xiàn)對(duì)APT攻擊的事后分析和取證。（啟明星辰葉潤(rùn)國(guó)）