APT起源
APT起源於2006年左右美國空軍對描述信息戰以支撐長期戰略目標的的複雜的對手的描述,
APT初期以郵件投放和0day使用爲主。
戰略性背景導向
不基於特徵的未知威脅檢測
惡意代碼
0day漏洞利用;shellcode、多種格式文件
背景:2013美國國家國防預算法案932.b
爲了克服當前面臨的問題和侷限性,下一代網絡安全系統不應該依賴於:
1·已知特徵機制
2·需要經常更新的特徵機制
3·需要以數據庫形式存儲下來的特徵機制
應對
基於虛擬執行的網絡行爲檢測: FireEye 爲代表,在網絡設備中對流量數據中異常代碼或文件作沙箱虛擬執行,並對內存做污點分析,沙箱真正優勢:發現非PE文件非形式化的加載運行判定惡意行爲。
FireEye方案
1·MPS(Malware protection System)引擎
2·支持Web、郵件、文件共享等多種來源數據
3·專門的MPS硬件運行不同來源數據
4·除可執行文件外,支持20多種其他文件格式
5·實時學習惡意代碼C&C特徵並阻斷
基於白名單的終端防護: Bit9爲代表,在終端、服務器中,只允許受信任的白名單運行,
基於策略定義軟件的可信性,包括軟件開發者和軟件分發渠道制定
安全雲,提供軟件可信度評價服務
實時檢測審計,監測、防範、事後審計
缺點:簽名證書被盜導致Bit9方案試用方案出現適用邊界,比傳統企業級殺毒需要更多網管和運維關注度。
基於IDS的通信發現識別 趨勢科技Deep Discovery 針對APT中的C&C通信,基於格式、特徵、模式等,識別流量並予以阻斷。
Deep Discovery方案
IDS引擎Inspector,基於全球威脅情報信息檢測C&C通道
惡意代碼沙箱和分析引擎
全球各個Inspector之間共享情報
將威脅處理收攏在產品處理範圍內
事件響應和取證分析
日誌數據聚合分析和事件重構
採集海量數據
終端、服務器的各類運行日誌和運行數據
網絡設備的各類運行日誌和運行數據
外部威脅情報信息
集中分析和關聯挖掘,發現APT攻擊並還原攻擊場景和過程
典型代表:RSA NetWitness、Solera
多階段信息融合,更有效地APT發現。實時防禦和處置問題。多種方法合作 ——產業聯盟 產品能力互補 廠商高度互信(不集中在利益追逐 謀求取代對方 而更多爲了產生創新 形成良性的特色能力成長 目前國內廠商集中在互相取代謀求功能齊全取代競爭對手)。
個人理解
按照主義的方法論來說,具體情況具體分析,問題這都9102年了,這是8 9年前的講解視頻,國內這安全風氣似乎沒多大改善啊。還是有半數之上做的是大而全往壟斷方向發展的表象(本質上不清楚,入行時間短,認識淺)。繼續研究漏洞了,少說多做~~