很多人认识APT还是从震网蠕虫开始的,这个事件让整个世界了解了ATP,知道了世界上有这样的一种投入如此巨大的资源去进行一件目的性非常强,而且达到一个影响非常大的效果。
俗话说的好,不怕贼偷就怕贼惦记。APT的攻击手法正是在于隐匿自己,针对特定对象,长期、有计划性和组织性地窃取数据。简单的说,APT攻击就是利用一些系统的0day去攻击某个大型公司里面的某个员工计算机,然后利用内网渗透去拿到攻击者想拿到的东西,一般为资料或者机密文件。
一时间,APT解决方案层出不穷,但数年之后,APT攻击事件仍旧频频出现。在之前发布的《APT攻击防御有道 绿盟NGTP构筑企业安全金钟罩》一文中我们介绍到,在新一代威胁防御方面,需要建立一个纵深的、多层次检测防御体系,通过多种技术,对攻击整个生命周期的各个阶段都提供检测能力,最大程度防止攻击发生了而我们却一无所知的状况出现。
从产品资料中了解到,绿盟科技推出的NGTP解决方案组件包括:新一代威胁分析检测设备(TAC)、二级信誉系统、入侵防御系统和专业人工服务。通过这些组件,构建了一个预防、检测、控制、响应于一体,有效形成安全闭环的解决方案。该方案不只是发现高级恶意软件威胁,而且能控制、清除威胁,真正帮助客户提升应对新一代威胁及高级恶意软件的安全能力,防止由此出现的敏感数据泄露、业务中断等各种风险。
不难看出,TAC是NGTP解决方案的核心,据了解,绿盟科技TAC通过独创的静态检测和动态检测引擎,能够不依赖于攻击特征识别恶意软件及其危害程度。可有效检测通过网页、电子邮件或其他在线文件共享方式进入网络的已知和未知恶意软件,发现利用0day漏洞的APT攻击行为,保护客户网络免遭利用0day漏洞等攻击造成的各种风险,如敏感信息泄露、基础设施破坏等。
另外,NGTP解决方案以绿盟安全情报云中心为纽带,借助端点、IPS、SEG等设备进行防御关联,形成了“端+边界+云+服务”APT攻击检测和防御的全面覆盖,基于BSA的安全大数据分析,提供了全景安全视图。
以邮件APT定向攻击为例,当邮件进入到企业内网,TAC设备对邮件协议进行文件还原,通过本地的沙箱系统进行虚拟执行,分析出恶意病毒进行外联下载的行为。TAC把分析出的结果上报到绿盟全球信誉云系统,形成恶意软件和URL信誉。当本地的NIPS(网络入侵防护系统)进行信誉更新后,即可对这个恶意软件进行报警和阻断。
TAC与SEG(邮件安全网关)的联动方案能够更进一步进行病毒清除。由于这个病毒是通过邮件进行传播的,邮件安全网关在信誉进行升级后,能够通过文件信誉识别出邮件中的附件是否为恶意软件,并根据结果对病毒邮件进行隔离或者直接删除。这种处理方式,使得病毒根本没有机会对内网的终端进行感染。
尽管APT攻击如此狡猾,只要找对方法,并对整个信息安全环境有清晰的认知,形成及时的产业链情报收集,甚至全球安全动态跟踪便可能真正做到防患于未然。
