神秘的另類APT解決方案

2013年之后及未來(lái)很長(zhǎng)一段時(shí)間，我們將面臨的主要威脅除了木馬之外，還包括定向攻擊。大規(guī)模爆發(fā)的病毒逐漸在減少，但是我們并沒(méi)有感受到越來(lái)越安全，相反，各種網(wǎng)絡(luò)威脅變得越來(lái)越詭秘，它們的打擊變得越來(lái)越定向，攻擊目標(biāo)也越來(lái)越多元，網(wǎng)絡(luò)所面臨的風(fēng)險(xiǎn)提升到了針對(duì)特定領(lǐng)域與特定機(jī)構(gòu)的定向APT攻擊。

主流APT解決方案對(duì)比分析

1、傳統(tǒng)特征匹配+虛擬執(zhí)行引擎。代表：Fireeye

基于行為異常的檢測(cè)方法核心思想是通過(guò)沙箱(高級(jí)蜜罐)模擬運(yùn)行環(huán)境，把未知程真實(shí)運(yùn)行一遍，從程序工作的行為判斷其合法性。

優(yōu)點(diǎn)：判斷準(zhǔn)確性較高不易誤判或漏判;

缺點(diǎn)：計(jì)算資源消耗比較大，部署成本較高;

2、基于白名單的終端安全檢測(cè)方案。代表：Bit9

通過(guò)在公有云上部署的80億條白名單庫(kù)，對(duì)安裝在用戶終端上的終端軟件提供注冊(cè)服務(wù)，凡在白名單庫(kù)里未注冊(cè)過(guò)的文件均被終端禁止訪問(wèn)，同時(shí)其終端軟件具有終端管理軟件常見的屬性，如移動(dòng)設(shè)備控制、注冊(cè)表保護(hù)等。

優(yōu)點(diǎn)：節(jié)省了計(jì)算資源，部署成本低;

缺點(diǎn)：不夠靈活，根據(jù)事先定義的特征，很有可能導(dǎo)致阻斷合法應(yīng)用;

3、私有云解決方案。代表：網(wǎng)御星云、Fortinet

網(wǎng)御星云私有云解決方案通過(guò)系統(tǒng)智能集成的海量黑白名單、規(guī)模化虛擬機(jī)動(dòng)態(tài)鑒定等，對(duì)文件是否包括惡意行為進(jìn)行判定，形成自動(dòng)化分析報(bào)告，并與安全網(wǎng)關(guān)進(jìn)行聯(lián)動(dòng)，在不影響轉(zhuǎn)發(fā)性能的前提下大幅增強(qiáng)安全網(wǎng)關(guān)的檢測(cè)能力。

優(yōu)點(diǎn)：節(jié)省了安全網(wǎng)關(guān)的計(jì)算資源，檢測(cè)準(zhǔn)確性較高不易誤判或漏判，結(jié)合網(wǎng)關(guān)部署方式較靈活。