5月8日,金山安全系统公司正式发布金山私有云安全系统。“金山私有云安全系统是为解决APT问题而生的。”成立还不到百天的金山安全系统公司在定向攻击(APT)的防范和捕捉中,做起了国内先行者,其勇气着实让业界为之一振。
金山发布私有云安全系统
如果说,2006年之前,我们面临的主要威胁是病毒;2006年之后的6、7年时间里,面临的主要威胁是木马;那么,2012年之后及未来很长一段时间,我们面临的主要威胁将是定向攻击。中国国家互联网应急中心的数据显示,2012年,中国境内1400余万台主机遭受攻击,3.8万个网站的遭受远程控制。金山安全系统公司副总裁张旭东认为APT问题已经很严重,“如果说病毒像强盗,木马像小偷,那么定向攻击(APT)就是一种具有精准打击能力的核武器!”
APT隐蔽性强,潜伏期长,也很难被检测到。Flame在几乎长达5年的活跃时间内,整个安全业界没有任何感知,而Stuxnet直到最后发动致命一击,安全业界才开始关注工控系统安全,由此关注APT攻击。
今天,对于APT的防御依然滞后,在中国尤其如此。目前,中国相关机构尚未建立严密的信息安全防御体系,只有极少的几个涉密的研究所或机构,才刚开始针对蜂拥而来的APT开展着前期研究,更糟糕的是,不少重要单位甚至并不认为自己会遭受定向攻击。
而现有的APT解决方案可以概括为四类:一是主机文件保护类(白名单方式控制)如,bit9;二是大数据分析检测类,如:RSA;三是恶意代码检测类,如FireEye;四是网络入侵检测类,如Fortinet。
金山私有云安全系统检测APT的思路是:以白名单作为产品的核心,以主机控制策略作为产品的应用模型。该产品的工作原理是:首先对用户终端环境中的所有程序和文件进行全网扫描,如果是病毒、木马、蠕虫等“黑”文件,则予以处理;如果与金山独有的数亿级的白文件库相匹配,则判“白”并予以放行;如果是暂时无法识别的未知文件则先标“灰”,后以不同的策略和文件鉴定器予以综合处理。
APT检测如此之难,金山是否具备应有的检测技术?面对这样的疑问,张旭东回应称,他并不否认APT检测确实很难,但这要看从哪个层面去做。纯粹通过网络来查找,发现的可能性确实不大,因为那是基于已知漏洞和已知规则的。但它一旦进入主机进行非法操作,用白名单过滤技术就可以被发现。
