APT起源
APT起源于2006年左右美国空军对描述信息战以支撑长期战略目标的的复杂的对手的描述,
APT初期以邮件投放和0day使用为主。
战略性背景导向
不基于特征的未知威胁检测
恶意代码
0day漏洞利用;shellcode、多种格式文件
背景:2013美国国家国防预算法案932.b
为了克服当前面临的问题和局限性,下一代网络安全系统不应该依赖于:
1·已知特征机制
2·需要经常更新的特征机制
3·需要以数据库形式存储下来的特征机制
应对
基于虚拟执行的网络行为检测: FireEye 为代表,在网络设备中对流量数据中异常代码或文件作沙箱虚拟执行,并对内存做污点分析,沙箱真正优势:发现非PE文件非形式化的加载运行判定恶意行为。
FireEye方案
1·MPS(Malware protection System)引擎
2·支持Web、邮件、文件共享等多种来源数据
3·专门的MPS硬件运行不同来源数据
4·除可执行文件外,支持20多种其他文件格式
5·实时学习恶意代码C&C特征并阻断
基于白名单的终端防护: Bit9为代表,在终端、服务器中,只允许受信任的白名单运行,
基于策略定义软件的可信性,包括软件开发者和软件分发渠道制定
安全云,提供软件可信度评价服务
实时检测审计,监测、防范、事后审计
缺点:签名证书被盗导致Bit9方案试用方案出现适用边界,比传统企业级杀毒需要更多网管和运维关注度。
基于IDS的通信发现识别 趋势科技Deep Discovery 针对APT中的C&C通信,基于格式、特征、模式等,识别流量并予以阻断。
Deep Discovery方案
IDS引擎Inspector,基于全球威胁情报信息检测C&C通道
恶意代码沙箱和分析引擎
全球各个Inspector之间共享情报
将威胁处理收拢在产品处理范围内
事件响应和取证分析
日志数据聚合分析和事件重构
采集海量数据
终端、服务器的各类运行日志和运行数据
网络设备的各类运行日志和运行数据
外部威胁情报信息
集中分析和关联挖掘,发现APT攻击并还原攻击场景和过程
典型代表:RSA NetWitness、Solera
多阶段信息融合,更有效地APT发现。实时防御和处置问题。多种方法合作 ——产业联盟 产品能力互补 厂商高度互信(不集中在利益追逐 谋求取代对方 而更多为了产生创新 形成良性的特色能力成长 目前国内厂商集中在互相取代谋求功能齐全取代竞争对手)。
个人理解
按照主义的方法论来说,具体情况具体分析,问题这都9102年了,这是8 9年前的讲解视频,国内这安全风气似乎没多大改善啊。还是有半数之上做的是大而全往垄断方向发展的表象(本质上不清楚,入行时间短,认识浅)。继续研究漏洞了,少说多做~~