|
四类APT安全解决方案面面观
http://www.cww.net.cn 2013年7月25日 09:16
趋势科技Deep Discovery 趋势科技的Deep Discovery专门为APT攻击检测而设计,它采用网络入侵检测技术来检测APT攻击的命令控制通道,同时,还可以通过在入侵检测引擎上部署恶意代码检测沙箱来弥补传统特征攻击检测的不足。Deep Discovery方案包括检测、分析、调整、响应四个步骤。产品形态上包括Inspector和Advisor两个组件。Inspector是个网络入侵检测引擎,依据获取的威胁情报信息来检测APT攻击过程中的命令控制通道,Inspector可以通过Advisor及时获取到趋势科技的全球威胁情报信息,以便及时检测到各种新型的APT攻击命令控制通道;同时,Inspector还包括一个Virtual Analyzer组件,它是一个智能沙箱,用来分析捕获的恶意代码。Adivsor为一个管理组件,可以实现对各Inspector引擎的集中管理;同时,它还包括一个可选的恶意代码分析引擎,可以接收来自检测引擎的恶意代码,从而实现恶意代码的集中分析;此外,Advisor还承担了威胁情报的实时收集和分发工作,以实现各Inspector引擎之间威胁情报的广泛共享。 RSA的NetWitness RSA NetWitness是一款革命性的网络安全监控平台,它可为企业提供发生在网络中任何时间的网络安全态势,从而协助企业解决多种类型的信息安全挑战。 RSA NetWitness是一组软件集合,针对APT攻击的检测和防御则主要由Spectrum、Panorama和Live三大组件实现,其中,RSA NetWitness Spectrum是一款安全分析软件,专门用来识别和分析基于恶意软件的企业网络安全威胁,并确定安全威胁的优先级;RSA NetWitness Panorama通过融合成百上千种日志数据源与外部安全威胁情报,从而可可以实现创新性信息安全分析;RSA NetWitness Live是一种高级威胁情报服务,通过利用来自全球信息安全界的集体智慧和分析技能,可以及时获得各APT攻击的威胁情报信息,极大缩短了针对潜在安全威胁的响应时间。RSA NetWitness具有以下特点:1)可对所有网络流量和各网络服务对象的离散事件进行集中分析,实现对网络的全面可视性,从而获得整个网络的安全态势;2)可以识别各种内部威胁、检测零日漏洞攻击、检测各种定向设计的恶意代码和检测各种APT攻击事件和数据泄密事件;3)可对所捕获的网络和日志数据进行实时上下文智能分析,从而为企业提供可行动的安全情报信息;4)可以借助NetWitness监控平台的可扩展性和强大分析能力来实现过程自动化,从而减少安全事件响应时间,并对变化的安全威胁做出及时调整。 纵观RSA2013大会上参展的主流APT攻击检测和方案后发现,目前各厂家所推出的APT检测防御方法都具有一定的局限性,主要表现为:很多APT攻击检测和防御方案都只能覆盖到APT攻击的某个阶段,从而可能导致漏报;很多APT安全解决方案只能检测APT攻击,并没有提供必要的APT攻击实时防御能力。我们认为,理想的APT安全解决方案应该覆盖APT攻击的所有攻击阶段,也就是说,我们的APT安全解决方案应该包括事前、事中和事后三个处置阶段,从而可能全面的检测和防御APT攻击。理想APT安全解决方案应该同时具有检测和实时防御能力,大数据分析和入侵检测防御技术相结合,大数据智能分析平台应该是APT安全解决方案的核心,实现对APT攻击事件的事后分析和情报获取;同时,还应该配合主机应用控制、实时恶意代码检测和网络入侵防御等技术,以实现对APT攻击的时间检测和防御。各APT安全厂商也已经注意到这个问题,开始通过合作或者完善自身技术方法来改进自己的APT检测和防御方案,以弥补其不足,比如,Junior和RSA近期宣布在威胁情报共享上达成合作协议,Junior的安全产品可以使用RSA NetWitness Live提供的安全威胁情报信息,从而提升其安全网关的检测能力;Bit9的可信安全平台可以和FireEye产品集成,利用FireEye高性能智能沙箱和上亿的恶意代码库识别恶意代码,从而更有效地保障主机终端的安全;FireEye的恶意代码防御引擎可以和第三方的安全事件分析平台(SIEM)进行集成,从而可以实现对APT攻击的事后分析和取证。(启明星辰 叶润国) 来源:通信世界网 作 者:启明星辰 叶润国编 辑:高娟
猜你还喜欢的内容
文章评论【查看评论()】
|
企业黄页 会议活动 |