01 APT防御的難點分析

　　APT攻擊的專業(yè)性強、復雜度高，因此對其防范相對困難。攻擊者在暗處通過社會工程學等手段收集大量信息，而被攻擊者毫不知情，這樣的信息不對稱也造成了APT攻擊的防御難點。

　　APT攻擊行為特征難以提取、攻擊渠道多元化、攻擊空間不確定等特點恰好也形成對其防御的難點。首先，APT一般通過零日漏洞獲取權限，但通過獲取和分析相應攻擊的特征來識別攻擊行為通常具有滯后性，這將導致實時監(jiān)測APT攻擊變得很困難，更何況APT注重動態(tài)行為和靜態(tài)文件的隱蔽性，如構建隱蔽通道、加密通道等；其次，APT攻擊渠道的多元化導致很難使用單一的技術手段建立通用的防御機制；最后，APT攻擊空間的不確定性，如任何一個階段、任何一個網(wǎng)絡、任何邊緣或非核心的節(jié)點等都有可能成為攻擊目標，導致其安全防護效果的不確定性。

　　“持續(xù)性”和“社會工程學”的混合攻擊方式是防御APT的另一難點。APT的持續(xù)時間長久，就如同人體的慢性疾病，潛伏一段時間后可能隨時爆發(fā)。據(jù)統(tǒng)計，APT攻擊從產(chǎn)生到被發(fā)現(xiàn)的平均耗時約為5年，是否能夠保證在5年的時間內(nèi)一直關注某些數(shù)據(jù)？這在物理世界都很難堅持，更何況在數(shù)據(jù)無所不在的網(wǎng)絡空間。大數(shù)據(jù)的特點就是數(shù)據(jù)規(guī)模大、分布無所不在，即數(shù)據(jù)的價值密度變得更小、更分散，從而導致更難聚焦于高價值的數(shù)據(jù)，這正是大數(shù)據(jù)本身所帶來的攻擊檢測難點。然而，攻擊者則恰好可能一直持續(xù)關注著某些敏感數(shù)據(jù)，這就將造成APT攻擊防不勝防。

　　02 APT防御的基本方法

　　APT是多樣攻擊方式的組合，因此也需要對其進行多方位的檢測防御。

　　1. 惡意代碼檢測

　　大多數(shù)APT攻擊都是通過惡意代碼來攻擊員工個人電腦，從而突破目標網(wǎng)絡和系統(tǒng)防御措施。因此，惡意代碼檢測對于檢測和防御APT攻擊至關重要。

　　惡意代碼的檢測主要分為兩種：基于特征碼的檢測技術和基于啟發(fā)式的檢測技術。

　　基于特征碼的檢測技術是通過對惡意代碼的靜態(tài)分析，找到該惡意代碼中具有代表性的特征信息（指紋），如十六進制的字節(jié)序列、字符串序列等，然后再利用該特征進行快速匹配。因此，基于特征碼檢測過程一般分3個步驟：第一步是特征分析，反病毒專家通過對搜集的惡意樣本進行分析，抽取特征碼；第二步是特征碼入庫，即將特征碼加入特征數(shù)據(jù)庫；第三步是安全檢測，即對可疑樣本進行掃描，利用已有的特征數(shù)據(jù)庫進行匹配，一旦匹配成功，則認定為惡意代碼，并輸出該惡意代碼的相關信息。

　　基于啟發(fā)式的檢測技術是通過對惡意代碼的分析獲得惡意代碼執(zhí)行中通用的行為操作序列或結構模式，這些行為序列和模式一般在正常文件中很少出現(xiàn)，如修改某個PE文件的結構、刪除某個系統(tǒng)關鍵文件、格式化磁盤等，然后再把每一個行為操作序列或結構模式按照危險程度排序并設定不同的危險程度加權值，在實施檢測時，若行為操作序列或結構模式的加權值總和超過某個指定的閾值，即判定為惡意代碼。啟發(fā)式檢測技術進行檢測時閾值的設定是關鍵，若閾值設定過大，則可能忽略某些危險操作，容易造成漏報，但若設定過小，可能把某些正常的行為序列組合判定為惡意操作，則容易誤報。因此要通過實驗，調整參數(shù)以達到最佳檢驗效果。

　　2. 主機應用保護

　　不管攻擊者通過何種渠道向員工個人電腦發(fā)送惡意代碼，該惡意代碼必須在員工個人電腦上執(zhí)行才能控制整個電腦。因此，若能加強系統(tǒng)內(nèi)各主機節(jié)點的安全措施，確保員工個人電腦以及服務器的安全，則可以有效防御APT攻擊。

　　3. 網(wǎng)絡入侵檢測

　　安全分析人員發(fā)現(xiàn)，雖然APT攻擊所使用的惡意代碼變種多且升級頻繁，但惡意代碼所構建的命令控制通道通信模式并不經(jīng)常變化。因此，可采用傳統(tǒng)入侵檢測方法來檢測APT的命令控制通道，關鍵是如何及時獲取APT攻擊命令控制通道的通信模式特征。

　　4. 大數(shù)據(jù)分析檢測

　　大數(shù)據(jù)分析是一種網(wǎng)絡取證思路，它全面采集網(wǎng)絡設備的原始流量及終端和服務器日志，進行集中的海量數(shù)據(jù)存儲和深入分析，可以在發(fā)現(xiàn)APT攻擊的蛛絲馬跡后，通過全面分析海量日志數(shù)據(jù)來還原APT攻擊場景。大數(shù)據(jù)分析檢測因涉及海量數(shù)據(jù)處理，因此需要構建Hadoop、Spark 等大數(shù)據(jù)存儲和分析平臺，并通過機器學習對數(shù)據(jù)進行分析，從而檢測出是否受到攻擊。例如，利用k-means聚類算法和ID3決策樹學習算法進行網(wǎng)絡異常流量檢測，使用基于歐氏距離的k-means聚類算法對正常流量行為和異常流量行為進行訓練，最后結合ID3決策樹判斷是否發(fā)生流量異常。

　　03 APT防御的產(chǎn)品路線

　　隨著APT攻擊的流行，不少安全廠商也推出了APT安全解決方案，下面介紹幾個APT檢測和防御產(chǎn)品。

　　1. FireEye

　　FireEye 的 APT 解決方案包括 MPS（Malware Protection System）和CMS（CentralManagement System）兩大組件。其中，MPS是惡意代碼防護引擎，是一個高性能的智能沙箱，可直接采集流量、抽取攜帶文件等，然后放到沙箱中進行安全檢測。FireEye的MPS引擎有以下特點。

　?。?）支持對Web、郵件和文件共享3種來源的惡意代碼檢測。

　?。?）對于不同來源的惡意代碼，采取專門 MPS 硬件進行專門處理，目的是提高檢測性能和準確性。

　?。?）MPS支持除可執(zhí)行文件之外的多達20種文件類型的惡意代碼檢測。

　?。?）MPS可支持旁路和串聯(lián)部署，以實現(xiàn)惡意代碼的檢測和實時防護。

　　（5）MPS 可實時學習惡意代碼的命令和控制信道特征，在串聯(lián)部署模式可以實時阻斷APT攻擊的命令控制通道。

　　CMS是集中管理系統(tǒng)模塊，管理系統(tǒng)中各MPS引擎，同時實現(xiàn)威脅情報的收集和及時分發(fā)分享。CMS除了對系統(tǒng)中多個MPS引擎進行集中管理外，還可連接到云中的全球威脅情報網(wǎng)絡來獲取威脅情報，并支持將檢測到的新惡意代碼情報上傳到云平臺，實現(xiàn)威脅情報的同步共享。此外，F(xiàn)ireEye還可與其他日志分析產(chǎn)品融合，形成功能更強大的APT安全防御解決方案。

　　2. Bit9

　　Bit9可信安全平臺（Trust-based Security Platform）采用軟件可信、實時檢測審計和安全云三大技術，提供網(wǎng)絡可視、實時檢測、安全保護和事后取證等四大企業(yè)級安全功能，從而實現(xiàn)強大的惡意代碼檢測和各類高級威脅的抵御能力。

　　Bit9解決方案核心是一個基于策略的可信引擎，管理員可以通過安全策略來定義可信軟件。Bit9可信安全平臺默認所有軟件都是可疑并禁止加載執(zhí)行，只有符合安全策略定義的軟件才被認為可信并允許執(zhí)行。Bit9可以基于軟件發(fā)布商和可信軟件分發(fā)源等定義可信策略，同時還可使用安全云提供的軟件信譽服務來度量軟件可信度，從而允許用戶下載和安裝可信度高的自由軟件?；诎踩呗缘目尚跑浖x方案事實上采用了軟件白名單機制，即在軟件白名單中的應用軟件才能在企業(yè)計算環(huán)境中執(zhí)行，其他都被禁止執(zhí)行，以此保護企業(yè)的計算環(huán)境安全。

　　Bit9解決方案中安裝在每個終端和服務器上的輕量級實時檢測和審計模塊，是實現(xiàn)實時檢測、安全防護和事后取證的關鍵部件。實時檢測模塊可以實現(xiàn)對整個網(wǎng)絡和計算環(huán)境的全面可視，實時了解終端和服務器的設備狀態(tài)和關鍵系統(tǒng)資源狀態(tài)，包括終端上的文件操作和軟件加載執(zhí)行情況；審計模塊還可審計終端上的文件進入渠道、文件執(zhí)行、內(nèi)存攻擊、進程行為、注冊表、外設掛載情況等。

　　Bit9解決方案還提供一個基于云的軟件信譽服務，即通過主動抓取發(fā)布在云上的軟件信息，包括軟件發(fā)布時間、流行程度、軟件發(fā)布商、軟件來源、AV 掃描結果等來計算軟件信譽度。同時，還支持從第三方惡意代碼檢測廠商（如 FireEye 等）獲取文件散列列表，有效識別更多的惡意代碼和可疑文件。

　　3. RSA NetWitness

　　RSA NetWitness是一款革命性的網(wǎng)絡安全監(jiān)控平臺，針對APT攻擊的檢測和防御主要由Spectrum、Panorama和Live三大組件實現(xiàn)。其中，RSA NetWitness Spectrum是一款安全分析軟件，專門用來識別和分析基于惡意軟件的企業(yè)網(wǎng)絡安全威脅，并確定安全威脅的優(yōu)先級；RSA NetWitness Panorama通過融合成百上千種日志源與外部安全威脅情報，從而實現(xiàn)創(chuàng)新性信息安全分析；RSA NetWitness Live是一種高級威脅情報服務，通過利用來自全球信息安全界的集體智慧和分析技能，及時獲得各種APT攻擊的威脅情報信息，可極大縮短針對潛在安全威脅的響應時間。

　　總體而言，RSA NetWitness具有以下特點。

　?。?）網(wǎng)絡全流量和服務對象離散事件的集中分析，實現(xiàn)網(wǎng)絡的全面可視性，從而獲得整個網(wǎng)絡的安全態(tài)勢。

　?。?）識別各種內(nèi)部威脅、檢測零日漏洞攻擊、檢測各種特定惡意代碼和APT攻擊事件以及數(shù)據(jù)泄密事件等。

　?。?）網(wǎng)絡日志數(shù)據(jù)的實時上下文智能分析，為企業(yè)提供可讀的安全情報信息。

　?。?）檢測與防御分析過程的自動化，最小化安全事件響應時間。

　　04 APT防御的發(fā)展趨勢

　　當前主流廠商提供的APT防御產(chǎn)品，主要存在如下問題。

　?。?）不能很好實現(xiàn)APT攻擊全過程檢測，容易導致攻擊漏報。

　?。?）不能全面提供APT攻擊的實時防御，難以實現(xiàn)主動防御。

　?。?）不能精準執(zhí)行APT攻擊的態(tài)勢感知，缺乏安全預警機制。

　　從功能上看，一個完整的APT安全檢測與防御解決方案應該覆蓋APT攻擊的所有階段，即應該解決事前智能檢測、事中應急響應和事后分析防御等3個層面。從技術上看，APT安全解決方案應該配置主機應用控制、實時惡意代碼檢測、入侵防御等關鍵技術，實現(xiàn)對APT攻擊的實時檢測和防御。同時，也需要將入侵檢測防御和大數(shù)據(jù)分析技術相結合，實現(xiàn)基于大數(shù)據(jù)的安全態(tài)勢感知與智能預警分析將成為APT安全解決方案的核心，實現(xiàn)對APT攻擊事件的情報信息獲取及其深度分析。隨著人工智能2.0時代的到來，基于深度學習的APT主動防御服務平臺也成為一種技術發(fā)展趨勢。