安全專(zhuān)家們均認(rèn)同高性能的盒內(nèi)與云端的沙盒技術(shù)是檢測(cè)潛在A(yíng)PT攻擊的有效手段。但是如何識(shí)別潛在的零日攻擊漏洞呢?

Fortinet發(fā)布導(dǎo)致潛在A(yíng)PT攻擊的漏洞與滲透最常用五種行為。

1. 隨機(jī)生成的IP地址。一些APT負(fù)載中包含了隨機(jī)生成IP地址字符串的功能，目的在于鋪墊進(jìn)一步滲透的陷阱。

2. 命令與控制連接試探。 一旦滲透成功，APT攻擊會(huì)使用連接命令并進(jìn)一步控制服務(wù)器從而竊取數(shù)據(jù)或發(fā)信號(hào)給僵尸網(wǎng)絡(luò)以進(jìn)一步發(fā)動(dòng)攻擊。檢測(cè)需要基于控制命令特征以及匯合區(qū)域的檢測(cè)。

3. 主機(jī)模擬。一個(gè)APT攻擊可能開(kāi)始對(duì)其主機(jī)設(shè)備或應(yīng)用進(jìn)行行為模擬，從而試圖逃避檢測(cè)技術(shù)。

4.Java腳本的模糊處理。記錄在案的APT案例已經(jīng)進(jìn)化出無(wú)數(shù)模糊Java腳本代碼的真實(shí)意圖與目的的技術(shù)，從而進(jìn)行惡意代碼的勾當(dāng)。

5. 加密流量。APT負(fù)載中嵌入的加密灰色軟件的趨勢(shì)使用所有的加密流量都橫亙?cè)谔岣唢L(fēng)險(xiǎn)評(píng)估的局面中。

Fortinet公司2012年底發(fā)布的FortiOS 5操作系統(tǒng)新增超過(guò)150項(xiàng)功能，主要集中在當(dāng)前企業(yè)以及公司機(jī)構(gòu)面臨的移動(dòng)終端與應(yīng)用激增帶來(lái)的安全困擾與防御。FortiOS 5 中同時(shí)對(duì)APT的防御，設(shè)計(jì)了盒內(nèi)與云端的沙盒技術(shù)，對(duì)未知灰色軟件，執(zhí)行特有的“緊湊模式識(shí)別語(yǔ)言”處理，使用單一特征覆蓋超過(guò)50000種不同的病毒，包括零日攻擊的變種。