这几天是RSA2014国际安全盛会,来自世界各地的安全公司齐聚美国,向全球展示了最新的安全产品和技术。除了持续火爆的BYOD移动安全、大数据安全和云安全,针对政府和企业的APT攻击,也成为本次大会上热议的焦点。
说到APT这个概念,从2011年开始就一直持续火爆,历经三年,攻防方式都在不断进化。赛门铁克、趋势科技等大型安全厂商纷纷在产品中加入APT防御功能,也诞生了FireEye、Cyphort这样以APT防御为核心业务的新公司。
而今年APT最大热点,不仅是防护方案更加成熟,更迎来了一个APT防护的新玩家—360。之所以称呼360为“新”,是因为360推出的全新APT解决方案—360天眼。360天眼不但使用沙箱技术防范APT攻击,还使用大数据分析技术对APT攻击进行了更有效的检测。在美国将FireEye列为对华禁售的高科技安全产品同时,360天眼不但填补了中国自有APT防护产品的空白,更向全球宣告了中国网络安全力量的崛起。
越来越聪明的APT攻击
众所周知,APT攻击会长久隐藏在网络中,普通的特征检测法极难发现。于是,一些APT防护厂商采用在网络中部署设备,通过自动化方法测试虚拟环境中的可执行文件,一旦发现可疑文件被激活,可以迅速预警。但是,这样的方案也有其缺陷。
就好像是火车站的X光安检。如果直接一把冲锋枪放进去,系统马上会识别;而把枪拆成一个一个零件后,安检仪器则只显示一堆金属零件。单个零件看上去并没有什么威胁,于是安检很容易就放过了。
最新的进化APT攻击也是一样。由于文件是通过网络检测的,攻击者可以将一个木马程序拆成好几部分,和其他文件打乱放在一起,这样APT防护设备往往无法识别其真面目。这些被拆散的攻击代码,一旦进入内部系统,即恢复成可执行文件,对目标系统发动恶意攻击。
结合大数据的防御方案
360董事长周鸿祎曾经有这样一句话经典名言:在APT和0DAY漏洞的威胁下,未来企业安全的发展趋势更多的是依靠云安全与“边界”来实现。不错。面对越来越聪明的APT攻击,360天眼开始利用大数据分析来增强APT攻击的检测率。
作为中国最大的互联网安全公司,360的安全产品部署在数十亿终端和WEB源上,拥有庞大黑白名单和恶意威胁特征代码等大数据。这些云端大数据,为360安全产品及时快速辨别恶意代码和行为提供了有效支撑,大大增强甄别未知攻击和恶意代码的准确率。
360天眼将终端、WEB、网络信息等系统中的通信进行整合分析,及时输入到防护系统中。同时,接入360云端大数据系统,从而形成本地系统和云端网络多重认证体系。在360天眼这个多层雷达+大数据的联合扫描下,不但及时发现未知病毒代码、0day漏洞等恶意攻击,更让各种隐蔽攻击无所遁形。