检测成功率高 对性能影响小——网御星云推出国内首个网关级APT解决方案
- 来源:中国计算机报 smarty:if $article.tag?>
- 关键字:网御星云 smarty:/if?>
- 发布时间:2014-07-22 16:22
近年来防范APT攻击成为了各类安全厂商共同的话题,各类安全厂商结合自己的技术优势和特点勾勒了不同角度、不同思路的APT防御模型。近日,网御星云发布了首个网关级的APT解决方案,期待以网关为基础做防御APT的大文章。当然,网关产品一直是网御星云的强项,但以网关为基础的防御模式能否担起防御APT的重任呢?
大规模爆发的病毒逐渐在减少,但是我们并没有感受到越来越安全,相反,各种网络威胁变得越来越诡秘,它们的打击变得越来越定向,攻击目标也越来越多元,网络所面临的风险提升到了针对特定领域与特定机构的定向APT攻击。
很多企业和政府可能并没有遭到APT攻击,但这仅仅是可能。这是因为,APT攻击的定向性和高隐蔽性让被攻击者防不胜防,甚至有的受害者内部网络被入侵一年之久,而自己仍浑然不觉。
于是,近年来防范APT攻击成为了各类安全厂商共同的话题,各类安全厂商结合自己的技术优势和特点勾勒了不同角度、不同思路的APT防御模型。近日,网御星云发布了首个网关级的APT解决方案,期待以网关为基础做防御APT的大文章。当然,网关产品一直是网御星云的强项,但以网关为基础的防御模式能否担起防御APT的重任呢?
网关+私有云
“当前,APT已成为政府机构和大型企业面临的最为严峻的安全挑战。很多安全厂商也基于不同的思路给出了APT攻击和防御思路,这其中包括主机应用防护、网络入侵检测、数据防泄露、大数据分析、网关恶意代码检测等。”网御星云网关产品线副总经理沈颍介绍,这些不同的检测防御思路也衍生出不同的技术和解决方案,比如基于白名单的终端安全检测、基于沙箱的虚拟执行技术、基于大数据分析的全网流量审计等。
“这些方案虽然有很多优点,但是同样也存在不足。比如白名单机制虽然能够保证网络的高性能,但是对未知威胁的检测率低;基于沙箱的虚拟执行技术虽然能够对未知威胁具有较高的检测成功率,但是又会影响网络的性能;而基于大数据分析的全网流量审计虽然具有理论上的高检测成功率,但其不易维护、存在实时防御能力弱的问题。”沈颍认为。
据了解,网御星云的APT防御解决方案实际上采用了网关加私有云安全中心的模式,通过网关与私有云安全中心的联动来检测和防御APT攻击。沈颍告诉记者,网御星云的APT防御解决方案还结合了上述各种防御思路的优势。具体来说,该解决方案首先会基于本地的特征库对经过网关的流量进行恶意攻击检测,这些流量同时还会通过私有云安全中心的黑白名单检测,并对可疑行为进行虚拟执行,来检测未知威胁。此外,私有云安全中心还具备动态学习、单点诱发和全网实时同步的能力。“在我们的解决方案中,流量会依次经过本地特征库、黑白名单、可疑流量再进入沙箱并可以全网同步。通过层层过滤,先进行对性能影响较小的检测,将范围缩小后再将可以程序放到沙箱中运行。这样既保证了较高的威胁检测成功率,又保证了网络的性能,同时还具有易于维护、实时防御能力较强的优势。”沈颖说。
整合形成优势
事实上,网御星云的APT解决方案虽然名为“网关级”,但是解决方案中的关键角色就是私有云安全中心,诸多检测、虚拟执行和同步功能,都需要在私有云安全中心中完成。解决方案需要网关与私有云安全中心的联动与协同,而这也正是APT防御的精髓。
“我们可以用小区的安防作一个类比。通常的小区都会有监控设备,也都有保安,但是,大多数情况下,保安都不可能通过监控设备进行24小时的实时监控,这就导致监控设备沦为安全事件发生后的查询和追溯工具。然而,如果保安和监控设备能够很好地联动,监控设备就能发挥更大的作用,就有可能实现实时的防御,做到安全事件发生前的防范。”沈颖说。
十多年来,网御星云根据“安全需求为导向”的产品理念研发出了多款以用户需求为导向的安全产品,从网络融合型防火墙到业务融合型UTM安全网关再到防御融合型安全解决方案,而此次发布的APT解决方案更是其中的典型代表。
此外,网御星云与启明星辰(002439,股吧)两家国内领先的安全厂商高度互补地整合,大大增强了网御星云网关级APT防御解决方案的技术和服务能力。“启明星辰在威胁检测方面占有优势,而网御星云则擅长于网关等边界安全防护。借助启明星辰的研发和技术能力,网御星云的APT防御解决方案炉火纯青。”沈颖告诉记者。
据沈颖介绍,该解决方案具备诸多技术亮点。一是具有0day/1day漏洞监测能力。它可以对漏洞同时进行静态和动态两种方式的检测,并能检测已知和未知的漏洞。已知漏洞识别主要利用文档格式解析,针对已知漏洞的格式信息构造条件进行检测,目前已经支持超过40种文档格式溢出漏洞的识别;未知漏洞识别主要通过静态启发识别技术(通过对Shellcode的识别,从而对溢出类型的文档进行静态识别,最终检测出未知漏洞)实现。对于特定漏洞可以给出相关的漏洞编号(例如CVE编号)。二是具有针对性的环境模拟能力。私有云安全中心采用虚拟化技术搭建,能够对系统进行安全保护和快速恢复。同时,通过对虚拟机的负载均衡,它可并发分析多个任务,为可疑样本的快速分析提供了有力保障。三是具有海量已知病毒识别能力。网御星云私有云安全中心拥有大于8000万个样本的海量知识库,能够实现对大量已知的恶意程序的快速过滤。
快速有效成本低
网络攻防永无止境,因为其背后涉及巨大的政治利益和经济利益。可以预见,当传统的攻击手段逐渐被严防死守的时候,新兴的攻击方式将更多地用在具有特定目的、以获取巨大价值为目标的恶意攻击中。APT可能早已不只存在于对伊朗核设施的打击中,它很有可能对国家的核心机构、政府部门、大型企业和经济命脉造成严重威胁,如果我们不能时刻绷紧这个弦,让APT有了可乘之机,后果不堪设想。
“网御星云始终致力于为政府和大型企业的安全保驾护航。APT防御解决的推出,将更加有助于它们防御APT等更为隐蔽的、高等级的恶意攻击。”沈颖表示,“我们希望这些组织和机构能够在自己的网络内构建私有云安全中心,从而实现私有云安全与网关的联动。相较于其他的防护方式,这是目前来看最为快速有效、同时还能节约成本的防御体系。用户可以根据自身的需求来定义防护的级别,从而在实现有效防御的同时,保障业务系统的顺利运行。”
链接 其他主流APT解决方案
1. 传统特征匹配+虚拟执行引擎。代表:FireEye
基于行为异常的检测方法核心思想是通过沙箱(高级蜜罐)模拟运行环境,把未知程序真实运行一遍,从程序工作的行为判断其合法性。
优点:判断准确性较高,不易误判或漏判;
缺点:计算资源消耗比较大,部署成本较高。
2. 基于白名单的终端安全检测方案。代表:Bit9
基于在公有云上部署的白名单库,对安装在用户终端上的终端软件提供注册服务,凡在白名单库里未注册过的文件均被终端禁止访问,同时其终端软件具有终端管理软件常见的属性,如移动设备控制、注册表保护等。
优点:节省了计算资源,部署成本低;
缺点:不够灵活,根据事先定义的特征,很有可能导致阻断合法应用。