對(duì)APT攻擊，科來總裁羅鷹表示，現(xiàn)在的攻擊手段多種多樣，利用各種系統(tǒng)漏洞或軟件漏洞進(jìn)行滲透的惡意代碼，是關(guān)注較多的攻擊手段。而將來利用或盜用合法的認(rèn)證簽名，利用瀏覽器漏洞和水坑攻擊將替代郵件攻擊將成為發(fā)展趨勢(shì)，并且攻擊者會(huì)更注重對(duì)虛擬機(jī)的逃逸技術(shù)，從而躲避安全廠商的動(dòng)態(tài)檢測(cè)技術(shù)。

 

　　傳統(tǒng)的安全防御以特征檢測(cè)為主，只有獲得已知的攻擊樣本，提取到相應(yīng)特征，才能有效進(jìn)行檢測(cè)。羅鷹認(rèn)為，目前的防御系統(tǒng)普遍存在兩個(gè)短板---一是對(duì)未知攻擊的發(fā)現(xiàn)能力不足，二是缺乏全流量安全審計(jì)能力。

 

　　羅鷹表示利用0day漏洞進(jìn)行的APT攻擊，是非常難防御的未知攻擊，雖然防御難度高，但業(yè)界公認(rèn)的動(dòng)態(tài)檢測(cè)技術(shù)，則是一種有效的防御手段，可以通過執(zhí)行樣本來觀察其所有行為，檢測(cè)是否含有惡意的APT攻擊代碼。高級(jí)木馬是會(huì)匹配目標(biāo)主機(jī)環(huán)境的，只有環(huán)境匹配才可能誘導(dǎo)樣本的木馬行為；同時(shí)，高級(jí)木馬又具備多種逃逸技術(shù)，甚至?xí)ㄟ^是否具有人工動(dòng)作判斷是否為虛擬機(jī)，避免暴露自己。所以動(dòng)態(tài)檢測(cè)技術(shù)的優(yōu)劣還在于防木馬的逃逸檢測(cè)能力，不被木馬檢測(cè)是關(guān)鍵?；谟布噶钅M技術(shù)，則是一種更好的檢測(cè)對(duì)抗技術(shù)，美國的安全廠商Fireeye的優(yōu)勢(shì)就在于此。

 

　　然而，對(duì)于APT防御，動(dòng)態(tài)檢測(cè)只是對(duì)抗惡意代碼或樣本的攻擊階段，對(duì)于攻擊前和攻擊后的行為分析，則需要有異常流量的檢測(cè)技術(shù)和全流量審計(jì)的回查技術(shù)來配合。木馬攻擊成功后，潛伏下來后會(huì)通過隱蔽信道技術(shù)躲避檢查，心跳數(shù)據(jù)非常少，甚至加密，混在大量的流量里，要辨別非常困難，猶如大海撈針。這需要有非常精確的應(yīng)用和協(xié)議鑒別技術(shù)，通過建立異常行為模型可在一定程度上解決問題，也就是異常流量檢測(cè)技術(shù)。羅鷹表示，無論攻擊者如何隱藏，只要通過網(wǎng)絡(luò)傳輸，必然會(huì)產(chǎn)生相應(yīng)數(shù)據(jù)，所以全流量的安全審計(jì)是APT安全檢測(cè)中必不可少的技術(shù)，其難點(diǎn)在于如何在大數(shù)據(jù)里快速過濾和回查數(shù)據(jù)。據(jù)了解，當(dāng)前國內(nèi)很多APT安全產(chǎn)品缺乏完善的全流量安全審計(jì)技術(shù)。APT的對(duì)抗技術(shù)上，也有基于白名單的可信安全平臺(tái)，代表產(chǎn)品為Bit9，實(shí)現(xiàn)對(duì)終端軟件的信譽(yù)鑒定，只有那些符合安全策略定義的軟件才被認(rèn)為可信和允許執(zhí)行。然而其門檻較高，除了需要大規(guī)模的終端部署之外，還需要大量的服務(wù)器進(jìn)行云計(jì)算。

 

　　在最后，羅鷹對(duì)當(dāng)前APT防護(hù)手段做了對(duì)比和分析。美國Fireeye的特點(diǎn)是動(dòng)態(tài)檢測(cè)技術(shù)強(qiáng)大，采用硬件虛擬化技術(shù)，能有效的防止高級(jí)攻擊對(duì)虛擬機(jī)的反檢測(cè)，是目前最有效的APT動(dòng)態(tài)檢測(cè)技術(shù)，并且Fireeye通過收購實(shí)現(xiàn)了流量深度分析能力，方案上更加完善。而科來的技術(shù)特點(diǎn)類似于Fireeye，除了具備硬件虛擬化動(dòng)態(tài)檢測(cè)技術(shù)之外，科來一直專注于協(xié)議分析，在異常流量分析能力技術(shù)較強(qiáng)，并且具備全流量審計(jì)能力，對(duì)網(wǎng)絡(luò)數(shù)據(jù)具有深度挖掘能力。同時(shí)其采用的私有云技術(shù)也更符合國內(nèi)對(duì)安全管理的需求。

 

　　在網(wǎng)絡(luò)空間日益被重視的今天，羅鷹認(rèn)為APT攻擊已經(jīng)是國家網(wǎng)絡(luò)空間對(duì)抗的一種手段。他表示國家網(wǎng)絡(luò)空間對(duì)抗不可避免，美國為首的五只眼，以及聯(lián)合更多國家的全球信息監(jiān)控，會(huì)進(jìn)一步推動(dòng)全球各國重視網(wǎng)絡(luò)空間對(duì)抗。APT攻擊是其中的主要方式之一，我們需要借鑒美國在網(wǎng)絡(luò)安全方面的投入和規(guī)劃。但是，我們面對(duì)APT攻擊防護(hù)起來難度要遠(yuǎn)高于美國，因?yàn)槊绹莆樟舜罅康木W(wǎng)絡(luò)資源和網(wǎng)絡(luò)技術(shù)，如根域名服務(wù)器、操作系統(tǒng)、芯片、交換機(jī)、路由器等，我們要建立的防御體系，需要具備像Fireeye和Bit9那樣有效的APT檢測(cè)手段，同時(shí)具備對(duì)數(shù)據(jù)的追溯回查能力，做到對(duì)APT攻擊的發(fā)現(xiàn)、追蹤、取證和防御。