全系统模拟捕捉APT所有安全厂商都在谈论APT(高级持续性威胁),但是如何防御APT则见仁见智了。 本文关键字: APT 所有安全厂商都在谈论APT(高级持续性威胁),但是如何防御APT则见仁见智了。 “我们认为,全系统模拟(Full System Emulation)的沙箱(Sandbox)技术可以更为有效地帮助企业防御APT攻击。”WatchGuard中国区市场总监万熠如此表示。近日,记者通过采访,了解到了WatchGuard这一全球领先的防火墙厂商对APT的理解。 APT相较于传统的安全威胁具有针对性强、隐蔽性高等特性。明枪易躲暗箭难防,如何发现APT都非常困难,就遑论APT的防御了。据记者了解,企业中确实出现过被APT攻击的案例,而且更为可怕的是,该企业在被攻击后的很长时间内,都对自己被攻击的事情一无所知。 一方面,APT攻击的操纵者会非常有针对性的进行为期几个月甚至更长时间的潜心准备,让企业凭借自身力量在海量的信息中去探测发现攻击行为几乎是不可能的。攻击者有可能会把恶意代码植入到企业中防护最薄弱的终端,但不会立即发动攻击。当一切准备就绪并锁定重要信息后,攻击者才会利用这条秘密通道悄无声息地将信息转移出去。另一方面,传统的恶意软件探测方式是以签名技术为基础的,但蠕虫、木马、零日(0day)漏洞为手段的攻击形式正在向复杂性更高的APT形式过渡,传统的安全产品正在变得毫无作为。这——正是APT的可怕之处。 “可以说,APT并不仅仅属于网络层面,也不仅仅属于应用层面。从防护的角度,我们可以把看作是一系列的网络行为。”万熠告诉记者,所以目前安全厂商应对APT所普遍采用的是沙箱技术。通过沙箱技术来模拟一系列网络行为所产生的后果,再通过大数据分析来判定其是不是APT攻击。 “要更好地捕捉APT,就要进行更为底层的行为模拟。于是,WatchGuard提出了全系统模拟的解决方案。”万熠介绍,目前的沙箱通常是某一层面进行模拟,比如对操作系统模拟。但是,如果一个恶意行为是读取内存,那么这个模拟可能就无法察觉这样的恶意行为。“全系统模拟的意思是从底层开始,构建从CPU、内存等硬件资源到操作系统、中间件的全系统沙箱,在这样的模拟环境中来监测网络行为,才能更为有效地甄别和捕获APT。”万熠说。 责编:李玉琴  微信扫一扫实时了解行业动态 著作权声明:畅享网文章著作权分属畅享网、网友和合作伙伴,部分非原创文章作者信息可能有所缺失,如需补充或修改请与我们联系,工作人员会在1个工作日内配合处理。 |
最新专题 |
|
|
资深技术经理:无线网络设备导致信..
网上邻居九招特殊的应用.doc