所有安全廠商都在談?wù)揂PT(高級(jí)持續(xù)性威脅)，但是如何防御APT則見仁見智了。

“我們認(rèn)為，全系統(tǒng)模擬(Full System Emulation)的沙箱(Sandbox)技術(shù)可以更為有效地幫助企業(yè)防御APT攻擊。”WatchGuard中國(guó)區(qū)市場(chǎng)總監(jiān)萬熠如此表示。近日，記者通過采訪，了解到了WatchGuard這一全球領(lǐng)先的防火墻廠商對(duì)APT的理解。

APT相較于傳統(tǒng)的安全威脅具有針對(duì)性強(qiáng)、隱蔽性高等特性。明槍易躲暗箭難防，如何發(fā)現(xiàn)APT都非常困難，就遑論APT的防御了。據(jù)記者了解，企業(yè)中確實(shí)出現(xiàn)過被APT攻擊的案例，而且更為可怕的是，該企業(yè)在被攻擊后的很長(zhǎng)時(shí)間內(nèi)，都對(duì)自己被攻擊的事情一無所知。

一方面，APT攻擊的操縱者會(huì)非常有針對(duì)性的進(jìn)行為期幾個(gè)月甚至更長(zhǎng)時(shí)間的潛心準(zhǔn)備，讓企業(yè)憑借自身力量在海量的信息中去探測(cè)發(fā)現(xiàn)攻擊行為幾乎是不可能的。攻擊者有可能會(huì)把惡意代碼植入到企業(yè)中防護(hù)最薄弱的終端，但不會(huì)立即發(fā)動(dòng)攻擊。當(dāng)一切準(zhǔn)備就緒并鎖定重要信息后，攻擊者才會(huì)利用這條秘密通道悄無聲息地將信息轉(zhuǎn)移出去。另一方面，傳統(tǒng)的惡意軟件探測(cè)方式是以簽名技術(shù)為基礎(chǔ)的，但蠕蟲、木馬、零日(0day)漏洞為手段的攻擊形式正在向復(fù)雜性更高的APT形式過渡，傳統(tǒng)的安全產(chǎn)品正在變得毫無作為。這——正是APT的可怕之處。

“可以說，APT并不僅僅屬于網(wǎng)絡(luò)層面，也不僅僅屬于應(yīng)用層面。從防護(hù)的角度，我們可以把看作是一系列的網(wǎng)絡(luò)行為。”萬熠告訴記者，所以目前安全廠商應(yīng)對(duì)APT所普遍采用的是沙箱技術(shù)。通過沙箱技術(shù)來模擬一系列網(wǎng)絡(luò)行為所產(chǎn)生的后果，再通過大數(shù)據(jù)分析來判定其是不是APT攻擊。

“要更好地捕捉APT，就要進(jìn)行更為底層的行為模擬。于是，WatchGuard提出了全系統(tǒng)模擬的解決方案。”萬熠介紹，目前的沙箱通常是某一層面進(jìn)行模擬，比如對(duì)操作系統(tǒng)模擬。但是，如果一個(gè)惡意行為是讀取內(nèi)存，那么這個(gè)模擬可能就無法察覺這樣的惡意行為。“全系統(tǒng)模擬的意思是從底層開始，構(gòu)建從CPU、內(nèi)存等硬件資源到操作系統(tǒng)、中間件的全系統(tǒng)沙箱，在這樣的模擬環(huán)境中來監(jiān)測(cè)網(wǎng)絡(luò)行為，才能更為有效地甄別和捕獲APT。”萬熠說。

事實(shí)上，APT的攻擊目標(biāo)已經(jīng)從政府和大型企業(yè)的關(guān)鍵基礎(chǔ)設(shè)施轉(zhuǎn)向規(guī)模更小的組織和企業(yè)。這是因?yàn)?，這些企業(yè)甚至是中小企業(yè)的安全防護(hù)更為薄弱，但仍然具備一定價(jià)值的數(shù)據(jù)和商業(yè)機(jī)密，所以，它們未來將成為更為廣泛的APT的攻擊對(duì)象。為了幫助中小企業(yè)用戶積極有效地應(yīng)防御APT攻擊，WatchGuard在其設(shè)備中實(shí)現(xiàn)了“APT攔截器”功能。在全新的v11.9版本中，用戶即可以擁有實(shí)時(shí)、可視化的APT防御能力。

該方案基于WatchGuard的RED全球信譽(yù)評(píng)估云平臺(tái)，使用仿真環(huán)境，APT攻擊代碼和包含零日威脅的惡意流量將自動(dòng)提交到云端沙箱中進(jìn)行分析。WatchGuard全球的五大數(shù)據(jù)中心以及獨(dú)有的3大反病毒引擎并發(fā)檢測(cè)技術(shù)將最終形成安全策略發(fā)布平臺(tái)，幫助企業(yè)防范APT攻擊。

另外，WatchGuard的 Dimension日志系統(tǒng)將利用大數(shù)據(jù)分析技術(shù)，真正意義上幫助用戶擁有在數(shù)分鐘內(nèi)發(fā)現(xiàn)并追蹤APT攻擊源頭能力，解決傳統(tǒng)技術(shù)無法識(shí)別或是需要數(shù)日時(shí)間才能預(yù)警的被動(dòng)局面。

“WatchGuard近期將推出入門級(jí)企業(yè)安全防護(hù)設(shè)備T10，吞吐量為220Mbps，適用于SOHO和小型企業(yè)。即使是在這樣的設(shè)備中，我們同樣提供了全系統(tǒng)模擬的APT防御能力。WatchGuard的產(chǎn)品思路始終是集成業(yè)界最好的防御方式，并將這些能力提供給所有的WatchGuard用戶，當(dāng)然這其中也包括最新的全系統(tǒng)模擬的APT防御能力。這是因?yàn)?，無論規(guī)模大小，所有的企業(yè)都面臨著與日俱增的安全威脅，幫助這些企業(yè)抵御安全威脅是WatchGuard的責(zé)任。”萬熠說。