DOIT 发表于:14年04月28日 09:40 [综述] DOIT.com.cn
如今,高级持续性威胁(Advanced Persistent Threat,APT)会反复出现在每一份网络安全分析报告当中,它的恶名和手段,已成为所有用户最担心的危险。而在当下,超过88%的恶意软件都拥有“变身”能力,能够轻松逃避传统防毒代码解决方案的拦截,轻松进入企业内部为非作歹。所以,当你看不到这些危险的时候,恐怖的APT可能就发生在身边。
APT攻击的背后一般都是优秀技术、资金资源的黑客组织或集团,他们对某些特定的用户发起的有目的、长时间的攻击,一般都会采用情报收集、进入点、命令和控制(C&C)通讯、横向扩展等手段,并以盗取数据为最终目标。但由于缺少可以甄别出APT攻击的安全工具,用户往往需要穷尽所有、借助外部专家帮助,在浪费了数月之后才能侥幸发现它们在企业内部寄居的“窝点”。用户采用这种极其低效的防御方式,后果只有一个:你的核心机密早已被黑客盗取,并成为地下交易市场上贩卖的商品。
那么, APT为何难以发现呢?对此,WatchGuard 中国区市场总监万熠表示:一方面,APT攻击的操纵者经常会针对性的进行为期几个月甚至更长时间的潜心准备,企业凭借自身力量无法在海量的信息中发现探测、横向扩展等行为。他们会把恶意代码植入企业中的薄弱终端,但不会立即发动攻击。当一切准备就绪,攻击者锁定的重要信息便会从这条秘密通道悄无声息的转移出去。另一方面,传统的恶意软件探测方式是以签名技术为基础的,但蠕虫、木马、0Day漏洞为手段的攻击形式正在向复杂性更高的APT形式过渡,这些产品已经无法顺应时代的发展。
从历史上看,APT的目标是政府和大型企业的关键基础设施,但经济利益的驱动下,现在这种威胁已经发展到针对更小的组织和企业。为了帮助中小企业用户积极有效地应防御APT攻击,作为全球知名的网络及内容安全解决方案提供商,WatchGuard在旗下 UTM和NGFW设备实现了“APT拦截器”的功能。在全新的v11.9版本中,用户可以拥有APT威胁防范的可见性和实时性。
该方案基于WatchGuard的RED全球信誉评估云平台,使用仿真环境,APT攻击代码和包含零日威胁的恶意流量将自动提交到云端沙箱中进行分析。WatchGuard全球的五大数据中心,以及独有的3大反病毒引擎并发检测技术,将最终形成安全策略发布平台,提前一步防止携带APT攻击特性的数据进入企业内部。另外,WatchGuard的 Dimension日志系统将利用大数据分析技术,真正意义上帮助用户拥有在数分钟内发现并追踪APT攻击源头能力,解决传统技术无法识别或是需要数日时间才能预警的被动局面。
