APT攻擊是近幾年來出現的一種高級攻擊，具有難檢測、持續時間長和攻擊目標明確等特征。傳統基于攻擊特征的入侵檢測和防御方法在檢測和防御APT方面效果很不理想，因此，各安全廠商都在研究新的方法并提出了多種多樣的解決方案。筆者在今年RSA峰會現場收集了各安全廠商所宣傳的APT安全解決方案并進行了梳理。在下文中，我們先回顧一下整個APT攻擊過程，對APT安全解決方案進行分類，再介紹一些代表性廠商的APT安全解決方案，最后給出我們的建議。

 

    APT攻擊過程分解

 

    整個APT攻擊過程包括定向情報收集、單點攻擊突破、控制通道構建、內部橫向滲透和數據收集上傳等步驟：

 

    1、定向情報收集，即攻擊者有針對性的搜集特定組織的網絡系統和員工信息。信息搜集方法很多，包括網絡隱蔽掃描和社會工程學方法等。從目前所發現的APT攻擊手法來看，大多數APT攻擊都是從組織員工入手，因此，攻擊者非常注意搜集組織員工的信息，包括員工的微博、博客等，以便了解他們的社會關系及其愛好，然后通過社會工程方法來攻擊該員工電腦，從而進入組織網絡。

 

    2、單點攻擊突破，即攻擊者收集了足夠的信息后，采用惡意代碼攻擊組織員工的個人電腦，攻擊方法包括：1）社會工程學方法，如通過email給員工發送包含惡意代碼的文件附件，當員工打開附件時，員工電腦就感染了惡意代碼；2）遠程漏洞攻擊方法，比如在員工經常訪問的網站上放置網頁木馬，當員工訪問該網站時，就遭受到網頁代碼的攻擊，RSA公司去年發現的水坑攻擊（Wateringhole）就是采用這種攻擊方法。這些惡意代碼往往攻擊的是系統未知漏洞，現有殺毒和個人防火墻安全工具無法察覺，最終結果是，員工個人電腦感染惡意代碼，從而被攻擊者完全控制。

 

    3、控制通道構建，即攻擊者控制了員工個人電腦后，需要構建某種渠道和攻擊者取得聯系，以獲得進一步攻擊指令。攻擊者會創建從被控個人電腦到攻擊者控制服務器之間的命令控制通道，這個命令控制通道目前多采用HTTP協議構建，以便突破組織的防火墻，比較高級的命令控制通道則采用HTTPS協議構建。

 

    4、內部橫向滲透，一般來說，攻擊者首先突破的員工個人電腦并不是攻擊者感興趣的，它感興趣的是組織內部其它包含重要資產的服務器，因此，攻擊者將以員工個人電腦為跳板，在系統內部進行橫向滲透，以攻陷更多的PC和服務器。攻擊者采取的橫向滲透方法包括口令竊聽和漏洞攻擊等。

 

    5、數據收集上傳，即攻擊者在內部橫向滲透和長期潛伏過程中，有意識地搜集各服務器上的重要數據資產，進行壓縮、加密和打包，然后通過某個隱蔽的數據通道將數據傳回給攻擊者。

 

    APT檢測和防御方案分類

 

    縱觀整個APT攻擊過程發現，有幾個步驟是APT攻擊實施的關鍵，包括攻擊者通過惡意代碼對員工個人電腦進行單點攻擊突破、攻擊者的內部橫向滲透、通過構建的控制通道獲取攻擊者指令，以及最后的敏感數據外傳等過程。當前的APT攻擊檢測和防御方案其實都是圍繞這些步驟展開。我們把本屆RSA大會上收集到的APT檢測和防御方案進行了整理，根據它們所覆蓋的APT攻擊階段不同，將它們分為以下四類：

 

    1、惡意代碼檢測類方案：該類方案主要覆蓋APT攻擊過程中的單點攻擊突破階段，它是檢測APT攻擊過程中的惡意代碼傳播過程。大多數APT攻擊都是通過惡意代碼來攻擊員工個人電腦，從而來突破目標網絡和系統防御措施的，因此，惡意代碼檢測對于檢測和防御APT攻擊至關重要。很多做惡意代碼檢測的安全廠商就是從惡意代碼檢測入手來制定其APT檢測和防御方案的，典型代表廠商包括FireEye和GFISoftware。

 

    2、主機應用保護類方案：該類方案主要覆蓋APT攻擊過程中的單點攻擊突破和數據收集上傳階段。不管攻擊者通過何種渠道向員工個人電腦發送惡意代碼，這個惡意代碼必須在員工個人電腦上執行才能控制整個電腦。因此，如果能夠加強系統內各主機節點的安全措施，確保員工個人電腦以及服務器的安全，則可以有效防御APT攻擊。很多做終端和服務器安全的廠商就是從這個角度入手來制定APT檢測和防御方案的，典型代表廠商包括Bit9和趨勢科技。

 

    3、網絡入侵檢測類方案：該類方案主要覆蓋APT攻擊過程中的控制通道構建階段，通過在網絡邊界處部署入侵檢測系統來檢測APT攻擊的命令和控制通道。安全分析人員發現，雖然APT攻擊所使用的惡意代碼變種多且升級頻繁，但惡意代碼所構建的命令控制通道通信模式并不經常變化，因此，可以采用傳統入侵檢測方法來檢測APT的命令控制通道。該類方案成功的關鍵是如何及時獲取到各APT攻擊手法的命令控制通道的檢測特征。很多做入侵檢測網關的廠商就是從這個角度入手來制定APT攻擊防御方案的，典型代表廠商有啟明星辰、飛塔等。

 

    4、大數據分析檢測類方案：該類方案并不重點檢測APT攻擊中的某個步驟，它覆蓋了整個APT攻擊過程。該類方案是一種網絡取證思路，它全面采集各網絡設備的原始流量以及各終端和服務器上的日志，然后進行集中的海量數據存儲和深入分析，它可在發現APT攻擊的一點蛛絲馬跡后，通過全面分析這些海量數據來還原整個APT攻擊場景。大數據分析檢測方案因為涉及海量數據處理，因此需要構建大數據存儲和分析平臺，比較典型的大數據分析平臺有Hadoop。很多做大數據分析和日志分析的廠商都是從這個角度入手來制定APT攻擊檢測防御方案的，典型的廠商有RSA和SOLERA。

 

    典型APT檢測和防御產品

    FireEye惡意代碼防御系統

 

    FireEye可以說是本次RSA大會上最火的公司，它所推出的基于惡意代碼防御引擎的APT檢測和防御方案最引人矚目。FireEye的APT安全解決方案包括MPS（MalwareprotectionSystem）和CMS（CentralManagement System）兩個組件，其中MPS是惡意代碼防護引擎，它是一個高性能的智能沙箱，可直接采集網絡流量，抽取所攜帶文件，然后放到沙箱中進行安全檢測；CMS是集中管理系統模塊，它管理系統中各MPS引擎，同時實現威脅情報的收集和及時分發。FireEye的MPS引擎有以下特點：1）支持對Web、郵件和文件共享三種來源的惡意代碼檢測；2）對于不同來源的惡意代碼，采取專門MPS硬件進行專門處理，目的是提高檢測性能和準確性；3）MPS支持除可執行文件之外的多達20種文件類型的惡意代碼檢測；4）MPS可支持旁路和串聯部署，以實現惡意代碼的檢測和實時防護；5）MPS可實時學習惡意代碼的命令和控制信道特征，在串聯部署模式可以實時阻斷APT攻擊的命令控制通道。CMS除了對系統中多個MPS引擎進行集中管理外，還可以連接到云中的全球威脅情報網絡來獲取威脅情報，并支持將檢測到的新型惡意代碼情報上傳到云中，以實現威脅情報的廣泛共享。此外，FireEye還可以和其它日志分析產品結合起來，形成功能更強大的信息安全解決方案。FireEye被認為是APT安全解決方案的佼佼者，其產品被很多500強企業采購。

 

    Bit9的可信安全平臺

 

    Bit9可信安全平臺(Trust-basedsecurityPlatform)使用了軟件可信、實時檢測審計和安全云三大技術,為企業網絡提供網絡可視、實時檢測、安全保護和事后取證等四大安全功能，從而可以檢測和抵御各種高級威脅和惡意代碼。Bit9解決方案核心是一個基于策略的可信引擎，管理員可以通過安全策略來定義哪些軟件是可信的。Bit9可信安全平臺默認假設所有軟件都是可疑和禁止加載執行的，只有那些符合安全策略定義的軟件才被認為可信和允許執行。Bit9可以基于軟件發布商和可信軟件分發源等信息來定義軟件的可信策略，同時，bit9還使用安全云中的軟件信譽服務來度量軟件可信度，從而允許用戶下載和安裝可信度較高的自由軟件。這種基于安全策略的可信軟件定義方案其實是實現了一個軟件白名單，只有那些在軟件白名單中的應用軟件才可以在企業計算環境中執行，其它則是禁止執行的，從而保護企業的計算環境安全。Bit9解決方案還包括一個可安裝在每個終端和服務器上的輕量級實時檢測和審計模塊，它是實現實時檢測、安全防護和事后取證的關鍵部件。Bit9的實時檢測和審計模塊將幫助你獲得對整個網絡和計算環境的全面可視性，通過它你可以實時了解到各終端和服務器的設備狀態和關鍵系統資源狀態，可以看到各終端上的文件操作和軟件加載執行情況；同時，實時檢測和審計模塊還審計終端上的文件進入渠道、文件執行、內存攻擊，進程行為、注冊表、外設掛載情況等等。Bit9解決方案還包括一個基于云的軟件信譽服務，它通過主動抓取發布于互聯網上的軟件，基于軟件發布時間、流行程度、軟件發布商、軟件來源以及AV掃描結果計算各軟件信譽度。Bit9解決方案還支持從其它惡意代碼檢測廠商（比如FireEye）處獲取文件哈希列表，從而可以識別更多的惡意代碼和可疑文件。

 

    趨勢科技DeepDiscovery

 

    趨勢科技的DeepDiscovery專門為APT攻擊檢測而設計，它采用網絡入侵檢測技術來檢測APT攻擊的命令控制通道，同時，還可以通過在入侵檢測引擎上部署惡意代碼檢測沙箱來彌補傳統特征攻擊檢測的不足。DeepDiscovery方案包括檢測、分析、調整、響應四個步驟。產品形態上包括Inspector和Advisor兩個組件。Inspector是個網絡入侵檢測引擎，依據獲取的威脅情報信息來檢測APT攻擊過程中的命令控制通道，Inspector可以通過Advisor及時獲取到趨勢科技的全球威脅情報信息，以便及時檢測到各種新型的APT攻擊命令控制通道；同時，Inspector還包括一個VirtualAnalyzer組件，它是一個智能沙箱，用來分析捕獲的惡意代碼。Adivsor為一個管理組件，可以實現對各Inspector引擎的集中管理；同時，它還包括一個可選的惡意代碼分析引擎，可以接收來自檢測引擎的惡意代碼，從而實現惡意代碼的集中分析；此外，Advisor還承擔了威脅情報的實時收集和分發工作，以實現各Inspector引擎之間威脅情報的廣泛共享。

 

    RSA的NetWitness

 

    RSANetWitness是一款革命性的網絡安全監控平臺，它可為企業提供發生在網絡中任何時間的網絡安全態勢，從而協助企業解決多種類型的信息安全挑戰。RSANetWitness是一組軟件集合，針對APT攻擊的檢測和防御則主要由Spectrum、Panorama和Live三大組件實現，其中，RSA NetWitness Spectrum是一款安全分析軟件，專門用來識別和分析基于惡意軟件的企業網絡安全威脅，并確定安全威脅的優先級；RSA NetWitness Panorama通過融合成百上千種日志數據源與外部安全威脅情報，從而可可以實現創新性信息安全分析；RSA NetWitness Live是一種高級威脅情報服務，通過利用來自全球信息安全界的集體智慧和分析技能，可以及時獲得各APT攻擊的威脅情報信息，極大縮短了針對潛在安全威脅的響應時間。RSA NetWitness具有以下特點：1）可對所有網絡流量和各網絡服務對象的離散事件進行集中分析，實現對網絡的全面可視性，從而獲得整個網絡的安全態勢；2）可以識別各種內部威脅、檢測零日漏洞攻擊、檢測各種定向設計的惡意代碼和檢測各種APT攻擊事件和數據泄密事件；3）可對所捕獲的網絡和日志數據進行實時上下文智能分析，從而為企業提供可行動的安全情報信息；4）可以借助NetWitness監控平臺的可擴展性和強大分析能力來實現過程自動化，從而減少安全事件響應時間，并對變化的安全威脅做出及時調整。

 

    縱觀RSA2013大會上參展的主流APT攻擊檢測和方案后發現，目前各廠家所推出的APT檢測防御方法都具有一定的局限性，主要表現為：很多APT攻擊檢測和防御方案都只能覆蓋到APT攻擊的某個階段，從而可能導致漏報；很多APT安全解決方案只能檢測APT攻擊，并沒有提供必要的APT攻擊實時防御能力。我們認為，理想的APT安全解決方案應該覆蓋APT攻擊的所有攻擊階段，也就是說，我們的APT安全解決方案應該包括事前、事中和事后三個處置階段，從而可能全面的檢測和防御APT攻擊。理想APT安全解決方案應該同時具有檢測和實時防御能力，大數據分析和入侵檢測防御技術相結合，大數據智能分析平臺應該是APT安全解決方案的核心，實現對APT攻擊事件的事后分析和情報獲取；同時，還應該配合主機應用控制、實時惡意代碼檢測和網絡入侵防御等技術，以實現對APT攻擊的時間檢測和防御。各APT安全廠商也已經注意到這個問題，開始通過合作或者完善自身技術方法來改進自己的APT檢測和防御方案，以彌補其不足，比如，Junior和RSA近期宣布在威脅情報共享上達成合作協議，Junior的安全產品可以使用RSANetWitnessLive提供的安全威脅情報信息，從而提升其安全網關的檢測能力；Bit9的可信安全平臺可以和FireEye產品集成，利用FireEye高性能智能沙箱和上億的惡意代碼庫識別惡意代碼，從而更有效地保障主機終端的安全；FireEye的惡意代碼防御引擎可以和第三方的安全事件分析平臺（SIEM）進行集成，從而可以實現對APT攻擊的事后分析和取證。（啟明星辰葉潤國）