移动安全 安全管理 应用案例网络威胁 系统安全 应用安全 数据安全 云安全
当前位置: 主页 > 信息安全 > 网络威胁 >

从RSA2103看厂商APT检测之道

时间:2013-08-30 11:57来源:TuZhiJiaMi企业信息安全专家 点击:
本年的RSA峰会共有350家安然厂商参展,参展厂家数超越了以往RSA年会。单从手艺热点来看,这两年的RSA峰会热点并没有太多改变,仍然仍是环绕数据安然、企业安然治理、合规性、利用法度安
Tags网络威胁(394)APT(28)应用防护(2)数据智能(1)  

  本年的RSA峰会共有350家安然厂商参展,参展厂家数超越了以往RSA年会。单从手艺热点来看,这两年的RSA峰会热点并没有太多改变,仍然仍是环绕数据安然、企业安然治理、合规性、利用法度安然、DLP等热点,而环绕数据和企业安然的APT检测成了本年RSA大年夜会的最热点。APT报复打击是近几年来呈现的一种高级报复打击,具有难检测、延续时候长和报复打击方针明白等特点,传统基于报复打击特点的进侵检测和防御编制在检测和防御APT方面结果很不睬想,是以,各安然厂商都在研究新的进侵检测和防御编制来抵当APT报复打击。笔者有幸亲临本年的RSA峰会现场,汇集了各安然厂商所鼓吹的APT安然解决方案。他们所提出的APT安然解决方案八门五花,但为了能从浩繁方案中梳理出一条清晰的主线,我们有需要先回顾一下全部APT报复打击过程,然后再对这些APT安然解决方案进行分类;最后,我们介绍一些代表性厂商的APT安然解决方案和产品。

  APT报复打击过程分化

  全部APT报复打击过程包含定向谍报汇集、单点报复打击冲破、节制通道构建、内部横向渗入和数据汇集上传等步调:

  1)定向谍报汇集,即报复打击者有针对性的汇集特定组织的收集系统和员工信息。信息汇集编制良多,包含收集埋没扫描和社会工程学编制等。从今朝所发现的APT报复打击手法来看,大年夜大都APT报复打击都是从组织员工进手,是以,报复打击者很是寄望汇集组织员工的信息,包含员工的微博、博客等,以便体味他们的社会关系及其欢愉爱好,然后经由过程社会工程编制来报复打击该员工电脑,从而进进组织收集。

  2)单点报复打击冲破,即报复打击者汇集了足够的信息后,采取歹意代码报复打击组织员工的小我电脑,报复打击编制包含:1)社会工程学编制,如经由过程email给员工发送包含歹意代码的文件附件,当员工打开附件时,员工电脑就传染了歹意代码;2)长途缝隙报复打击编制,好比在员工常常拜候的网站上放置网页木马,当员工拜候该网站时,就遭遭到网页代码的报复打击,RSA公司往年发现的水坑报复打击(Watering hole)就是采取这类报复打击编制。这些歹意代码常常报复打击的是系统未知缝隙,现有杀毒和小我防火墙安然东西没法发觉,最终成果是,员工小我电脑传染歹意代码,从而被报复打击者完全节制。

  3)节制通道构建,即报复打击者节制了员工小我电脑后,需要构建某种渠道和报复打击者获得联系,以获得进一步报复打击指令。报复打击者会成立从被控小我电脑到报复打击者节制办事器之间的号令节制通道,这个号令节制通道今朝多采取HTTP和谈构建,以便冲破组织的防火墙,比较高级的号令节制通道则采取HTTPS和谈构建。

  4)内部横向渗入,一般来讲,报复打击者起首冲破的员工小我电脑其实不是报复打击者感欢愉爱好的,它感欢愉爱好的是组织内部其它包含首要资产的办事器,是以,报复打击者将以员工小我电脑为跳板,在系统内部进行横向渗入,以攻下更多的PC和办事器。报复打击者采纳的横向渗入编制包含口令***和缝隙报复打击等。

  5)数据汇集上传,即报复打击者在内部横向渗入和持久暗藏过程中,成心识地汇集各办事器上的首要数据资产,进行紧缩、加密和打包,然后经由过程某个埋没的数据通道将数据传回给报复打击者。

  APT检测和防御方案分类

  纵不雅全部APT报复打击过程发现,有几个步调是APT报复打击实施的关头,包含报复打击者经由过程歹意代码对员工小我电脑进行单点报复打击冲破、报复打击者的内部横向渗入、经由过程构建的节制通道获得报复打击者指令,和最后的敏感数据别传等过程。当前的APT报复打击检测和防御方案其实都是环绕这些步调展开。我们把本届RSA大年夜会上汇集到的APT检测和防御方案进行了清算,按照它们所笼盖的APT报复打击阶段不合,将它们分为以下四类:

  1)歹意代码检测类方案:该类方案首要笼盖APT报复打击过程中的单点报复打击冲破阶段,它是检测APT报复打击过程中的歹意代码传播过程。大年夜大都APT报复打击都是经由过程歹意代码来报复打击员工小我电脑,从而来冲破方针收集和系统防御办法的,是以,歹意代码检测对检测和防御APT报复打击相当首要。良多做歹意代码检测的安然厂商就是从歹意代码检测进手来拟定其APT检测和防御方案的,典型代表厂商包含FireEye和GFI Software。

  2)主机利用呵护类方案:该类方案首要笼盖APT报复打击过程中的单点报复打击冲破和数据汇集上传阶段。不管报复打击者经由过程何种渠道向员工小我电脑发送歹意代码,这个歹意代码必需在员工小我电脑上履行才能节制全部电脑。是以,假定可以或许加强系统内各主机节点的安然办法,确保员工小我电脑和办事器的安然,则可以有效防御APT报复打击。良多做终端和办事器安然的厂商就是从这个角度进手来拟定APT检测和防御方案的,典型代表厂商包含Bit9和趋势科技。

  3)收集进侵检测类方案:该类方案首要笼盖APT报复打击过程中的节制通道构建阶段,经由过程在收集鸿沟处摆设进侵检测系统来检测APT报复打击的号令和节制通道。安然阐发人员发现,当然APT报复打击所利用的歹意代码变种多且进级频繁,但歹意代码所构建的号令节制通道通信模式其实不常常改变,是以,可以采取传统进侵检测编制来检测APT的号令节制通道。该类方案成功的关头是若何及时获得到各APT报复打击手法的号令节制通道的检测特点。良多做进侵检测网关的厂商就是从这个角度进手来拟定APT报复打击防御方案的,典型代表厂商有趋势科技、飞塔等。

  4)大年夜数据阐发检测类方案:该类方案其实不重点检测APT报复打击中的某个步调,它笼盖了全部APT报复打击过程。该类方案是一种收集取证思路,它周全汇集各收集设备的原始流量和各终端和办事器上的日记,然掉队行集中的海量数据存储和深进阐发,它可在发现APT报复打击的一点蛛丝马迹后,经由过程周全阐发这些海量数据来还原全部APT报复打击场景。大年夜数据阐发检测方案因为触及海量数据措置,是以需要构建大年夜数据存储和阐发平台,比较典型的大年夜数据阐发平台有Hadoop。良多做大年夜数据阐发和日记阐发的厂商都是从这个角度进手来拟定APT报复打击检测防御方案的,典型的厂商有RSA和SOLERA。

  典型APT检测和防御产品

  歹意代码检测类代表:FireEye的歹意代码防御系统

  FireEye可以说是本次RSA大年夜会上最火的公司,它所推出的基于歹意代码防御引擎的APT检测和防御方案最引进谛视。FireEye的APT安然解决方案包含MPS(Malware protection System)和CMS (Central Management System)两个组件:此中MPS是歹意代码防护引擎,它是一个高机能的智能沙箱,可直领受集收集流量,抽取所携带文件,然后放到沙箱中进行安然检测;CMS是集中治理系统模块,它治理系统中各MPS引擎,同时实现威胁谍报的汇集和及时分发。FireEye的MPS引擎有以下特点:1)撑持对Web、邮件和文件共享三种来历的歹意代码检测;2)对不合来历的歹意代码,采纳专门MPS硬件进行专门措置,目标是进步检测机能和准确性;3)MPS撑持除可履行文件以外的多达20种文件类型的歹意代码检测;4)MPS可撑持旁路和串连摆设,以实现歹意代码的检测和及时防护;5)MPS可及时进修歹意代码的号令和节制信道特点,在串连摆设模式可和时阻断APT报复打击的号令节制通道。CMS除对系统中多个MPS引擎进行集中治理外,还可以连接到云中的全球威胁谍报收集来获得威胁谍报,并撑持将检测到的新型歹意代码谍报上传到云中,以实现威胁谍报的遍及共享。别的,FireEye还可以和其它日记阐发产品连络起来,构成功能更强大年夜的信息安然解决方案。FireEye被觉得是APT安然解决方案的佼佼者,其产品被良多500强企业采购。

  主机利用防护类代表:Bit9的可托安然平台

  Bit9可托安然平台(Trust-based security Platform)利用了软件可托、及时检测审计和安然云三大年夜手艺,为企业收集供给收集可视、及时检测、安然呵护和过后取证等四大年夜安然功能,从而可以检测和抵抗各类高级威胁和歹意代码。Bit9解决方案核心是一个基于策略的可托引擎,治理员可以经由过程安然策略来定义哪些软件是可托的。Bit9可托安然平台默许假定所有软件都是可疑和避免加载履行的,只有那些合适安然策略定义的软件才被觉得可托和承诺履行。Bit9可以基于软件发布商和可托软件分发源等信息来定义软件的可托策略,同时,bit9还利用安然云中的软件诺言办事来怀抱软件可托度,从而承诺用户下载和安装可托度较高的自由软件。这类基于安然策略的可托软件定义方案其实是实现了一个软件白名单,只有那些在软件白名单中的利用软件才可以在企业计较环境中履行,其它则是避免履行的,从而呵护企业的计较环境安然。Bit9解决方案还包含一个可安装在每个终端和办事器上的轻量级及时检测和审计模块,它是实现及时检测、安然防护和过后取证的关头部件。Bit9的及时检测和审计模块将帮忙你获得对全部收集和计较环境的周全可视性,经由过程它你可和时体味到各终端和办事器的设备状况和关头系统资本状况,可以看到各终端上的文件把持和软件加载履行环境;同时,及时检测和审计模块还审计终端上的文件进进渠道、文件履行、内存报复打击,过程行动、注册表、外设挂载环境等等。Bit9解决方案还包含一个基于云的软件诺言办事,它经由过程主动抓取发布于互联网上的软件,基于软件发布时候、风行程度、软件发布商、软件来历和AV扫描成果计较各软件诺言度。Bit9解决方案还撑持从其它歹意代码检测厂商(好比FireEye)处获得文件哈希列表,从而可以辨认更多的歹意代码和可疑文件。

  进侵检测类代表:趋势科技的Deep Discovery

  趋势科技的Deep Discovery专门为APT报复打击检测而设计,它采取收集进侵检测手艺来检测APT报复打击的号令节制通道,同时,还可以经由过程在进侵检测引擎上摆设歹意代码检测沙箱来弥补传统特点报复打击检测的不足。Deep Discovery方案包含检测、阐发、调剂、响应四个步调。产品形态上包含Inspector和Advisor两个组件。Inspector是个收集进侵检测引擎,根据获得的威胁谍报信息来检测APT报复打击过程中的号令节制通道,Inspector可以经由过程Advisor及时获得到趋势科技的全球威胁谍报信息,以便及时检测到各类新型的APT报复打击号令节制通道;同时,Inspector还包含一个Virtual Analyzer组件,它是一个智能沙箱,用来阐发捕获的歹意代码。Adivsor为一个治理组件,可以实现对各Inspector引擎的集中治理;同时,它还包含一个可选的歹意代码阐发引擎,可以领受来自检测引擎的歹意代码,从而实现歹意代码的集中阐发;别的,Advisor还承担了威胁谍报的及时汇集和分发工作,以实现各Inspector引擎之间威胁谍报的遍及共享。

  大年夜数据阐发检测类代表:RSA的NetWitness

  RSA NetWitness是一款革命性的收集安然监控平台,它可为企业供给产生在收集中任甚么时辰间的收集安然态势,从而协助企业解决多种类型的信息安然挑战。 RSA NetWitness是一组软件调集,针对APT报复打击的检测和防御则首要由Spectrum、Panorama和Live三大年夜组件实现,此中,RSA NetWitness Spectrum是一款安然阐发软件,专门用来辨认和阐发基于歹意软件的企业收集安然威胁,并肯定安然威胁的优先级;RSA NetWitness Panorama经由过程畅通领悟成百上千种日记数据源与外部安然威胁谍报,从而可可以实现立异性信息安然阐发;RSA NetWitness Live是一种高级威胁谍报办事,经由过程操纵来自全球信息安然界的集体智慧和阐发手艺,可和时获得各APT报复打击的威胁谍报信息,极大年夜缩短了针对暗藏安然威胁的响应时候。RSA NetWitness具有以下特点:1)可对所有收集流量和各收集办事对象的离散事务进行集中阐发,实现对收集的周全可视性,从而获得全部收集的安然态势;2)可以辨认各类内部威胁、检测零日缝隙报复打击、检测各类定向设计的歹意代码和检测各类APT报复打击事务和数据泄密事务;3)可对所捕获的收集和日记数据进行及时上下文智能阐发,从而为企业供给可步履的安然谍报信息;4)可以借助NetWitness监控平台的可扩大性和强大年夜阐发能力来实现过程主动化,从而削减安然事务响应时候,并对改变的安然威胁做出及时调剂。.

  纵不雅RSA2013大年夜会上参展的主流APT报复打击检测和方案后发现,今朝各厂家所推出的APT检测防御编制都具有必然的局限性,首要表示为:良多APT报复打击检测和防御方案都只能笼盖到APT报复打击的某个阶段,从而可能导致漏报;良多APT安然解决方案只能检测APT报复打击,并没有供给需要的APT报复打击及时防御能力。我们觉得,抱负的APT安然解决方案应当笼盖APT报复打击的所有报复打击阶段,也就是说,我们的APT安然解决方案应当包含事前、事中和过后三个措置阶段,从而可能周全的检测和防御APT报复打击。抱负APT安然解决方案应当同时具有检测和及时防御能力,大年夜数据阐发和进侵检测防驭手艺相连络,大年夜数据智能阐发平台应当是APT安然解决方案的核心,实现对APT报复打击事务的过后阐发和谍报获得;同时,还应当共同主机利用节制、及时歹意代码检测和收集进侵防御等手艺,以实现对APT报复打击的时候检测和防御。各APT安然厂商也已寄望到这个标题问题,开端经由过程合作或完美本身手艺编制来改进本身的APT检测和防御方案,以弥补其不足,好比,Junior和RSA近期发布在威胁谍报共享上达成合作和谈,Junior的安然产品可利用RSA NetWitness Live供给的安然威胁谍报信息,从而晋升其安然网关的检测能力;Bit9的可托安然平台可以和FireEye产品集成,操纵FireEye高机能智能沙箱和上亿的歹意代码库辨认歹意代码,从而更有效地保障主机终端的安然;FireEye的歹意代码防御引擎可以和第三方的安然事务阐发平台(SIEM)进行集成,从而可以实现对APT报复打击的过后阐发和取证。

------分隔线----------------------------

推荐内容