【IT168选型指南】提起APT攻击，相信身处安全圈的人都不会陌生，近几年来，APT攻击已经成为业界最主要研究和热议的技术话题。同时，APT攻击也逐渐成为企业将要应对的主要安全威胁。APT攻击以其独特的攻击方式和手段，使得传统的安全防御工具已无法进行有效的防御。那么，面对APT攻击企业该如何更新IT安全架构?如何选择有效的APT防护解决方案?在本篇文章中，我们将和大家探讨这些问题。

　　一、 典型APT攻击回顾

　　首先，我们来看业界几个比较典型的APT攻击案例，从这些案例中我们可以找到APT攻击的一些特点和攻击的方式：

　　1、Google极光攻击：2010年的Google Aurora(极光)攻击是一个十分著名的APT攻击。Google内部终端被未知恶意程序渗入数月，攻击者持续监听并最终成功参透进入了Google的邮件服务器，进而不断的获取特定Gmail账户的邮件内容信息，并且造成各种系统的数据被窃取。

　　2、夜龙攻击：夜龙攻击是在2011年2月份发现并命名。该攻击的攻击过程是：利用SQL注入攻击和密码暴力破解目标机器并植入未知恶意代码，并被安装远端控制工具(RAT)，最终传回大量机密文档。

　　3、RSA SecurID窃取攻击：2011年3月，RSA公司遭受入侵，公司关键技术及客户资料被窃取。而此次APT攻击就是利用了Adobe的0day漏洞植入臭名昭著的Poison Ivy远端控制工具在受感染客户端，并开始自僵尸网络的命令控制服务器下载指令进行任务。

　　4、超级工厂病毒攻击(震网攻击)：这个病毒早在2007年被发现，超级工厂病毒的攻击者并没有广泛的去传播病毒，通过特别定制的未知恶意程序感染相关人员的U盘，病毒以U盘为桥梁进入“堡垒”内部，随即潜伏下来。病毒很有耐心的逐步扩散，利用多种0day一点一点的进行破坏。

　　5、Shady RAT攻击：2011年8月份，Symantec发现并报告了该攻击。该攻击在长达数年的持续攻击过程中，通过植入未知木马程序渗透并攻击了全球多达70个公司和组织的网络。

　　通过以上这些典型的APT攻击案例，我们不难看出，APT攻击都存在一些共同的特点，就是隐蔽性强，有明确的攻击目标，并通过不计成本挖掘/购买0day漏洞以及多种方式组合渗透、定向扩散，对目标机器进行长期持续性的攻击。那么，对APT攻击的防护业界又做到了怎样的水平呢?接下来，我们将对APT攻击防护进行深入的探讨。

二、 APT攻击防护市场发展

　　根据Ponemon研究所名为“高级持续性攻击的现状”报告显示，在过去12个月中，企业平均遭遇了9起这种有针对性的攻击。近一半的企业称，攻击者成功地从他们的内部网络窃取了机密或者敏感信息。另据CN-CERT发布的《2012年我国互联网网络安全态势综述》显示，2012年我国境内至少有4.1万余台主机感染了具有APT特征的木马程序。

　　APT攻击已经成为困扰企业最主要的安全威胁，而随着移动互联网、云计算等技术的发展，新型攻击技术也同时出现，针对社交网络、移动终端、工控系统的攻击无时无刻在进行，企业对于APT攻击的检测和防范变得越来越困难。

　　趋势科技中国区产品经理蒋世琪表示，APT攻击是信息安全一大隐忧，而这类威胁的防范必须融入一个更大的监测及预防策略中，并整合现有的网络防御。因此，企业用户会更加关注如何加强防范APT攻击与进阶威胁、避免攻击破坏网络及泄露敏感信息的努力，更能完全发挥用户已投资的安全防护产品和技术。

　　迈克菲北亚区技术总监郑林认为，基于利益驱动的APT攻击目前呈爆发形态，因此用户对相应的防护手段也越来越重视。IDC预计专注于APT攻击防护的定向威胁分析和保护市场到2017年会达到12亿美金，有很大的增长空间。

　　翰海源创始人方兴谈到：“APT攻击将会是未来黑客攻击的主要形式，也是大型组织和企业面临的最大外部IT风险。因此APT攻击防护一定会发展成一个较大的市场，未来除了重要的政府部门，大型企业也会有较大需求。”同时，方兴认为，“APT攻击防护一定是一个不断对抗的过程，这是一个需要长期投入的市场，不是在硬件上加一个特性或功能就能开始赚快钱的市场。”

　　科来软件CEO罗鹰认为，APT攻击是复杂的攻击，是人与人之间的对抗，APT不仅仅是邮件攻击，只为用户提供海量知识库、Shell code检查、沙箱检查是不够的，那只是APT攻击很小的一部分。传统安全产品解决不了的，都应该纳入APT分析防御体系，如何做到更好的检测效果，如何反沙箱检测效果上，如何做到更强的并行处理能力，如何做到更全面的防护，这将是APT产品发展的趋势。另外两个趋势是：1.可执行文件鉴定服务、文件信誉鉴定，则是APT方案的一个很好的补充，这依赖于大数据分析；2.全流量审计分析，提供高精度的协议分析，关联并可挖掘网络行为，提供APT攻击过程的分析与还原，将为APT取证提供数据依据。

三、 APT攻击趋势及防御策略调研

　　根据我们近期针对APT攻击趋势及防御策略的调查数据显示，企业用户对于APT攻击的认识也提升到了一个新的层次。81%的企业用户在调查中表示听说过APT攻击(图一)，其中，14%的企业用户表示对APT攻击所造成的危害非常了解，另有61%的企业用户表示对APT攻击有一个大概和基本的了解(图二)。

(图一)

(图二)

　　在APT攻击手段和企业防护策略调查中，电子邮件、社交网站、病毒成为三大APT攻击的最主要途径(图三)。另外，恶意链接、钓鱼网站、移动设备等所带来的安全威胁也不容忽视;而在最困扰企业的APT攻击特性中(图四)，攻击空间路径不确定、攻击渠道不确定、单点隐蔽能力强成为最困扰企业的APT攻击特性。

(图三)

(图四)

　　在APT攻击防御策略调查中，42%的企业用户认为从不同角度协同考虑APT攻击防护是最有效的防护策略。从这一点，我们也能看出，企业用户对于APT攻击特点的了解已基本成熟，对于APT防护方案也有了一个整体的规划。

(图五)

四、 APT专家选型观点

　　对于企业而言，APT攻击可能是他们的噩梦，因为企业很难做到阻止。应对APT攻击通常需要企业有明确的响应和恢复计划，从而来减少不必要的损害和损失，因为一旦发现APT活动，这通常意味着已经为时已晚。

　　Fortinet中国首席技术顾问谭杰谈到，APT攻击本身就是结合了多种入侵技术的复杂攻击方法，因此一个有效的APT攻击防御方案应该包括多个方面，如多重网络安全防御、未知恶意代码识别与过滤、大数据安全、主机和数据安全加固等，这样才能完整地覆盖APT的生命周期，尽可能降低方方面面的风险。

　　启明星辰威胁与技术研究中心安全研究部经理陈亘表示，对于企业防范类似的APT攻击，要力争做到“进不来、出不去、看不懂、拿不走、跑不掉”。首先努力使恶意代码和非授权访问无法进入内部网络，即使主机被攻陷那也使得被攻陷主机无法与外界联系，攻击者获取的数据都是加密的，即使取得数据的访问权限也无法输送到外网，还要对攻击行为进行审计，可以追溯到攻击源。

　　趋势科技中国区产品经理蒋世琪谈到，对APT威胁进行侦测和控制的过程可能非常耗时，企业可以先专注两个方面来将损害降到最低程度，同时也让事件调查可以尽可能的快速和成功：一是企业要执行适当的记录政策，将网络分割，并通过威胁发现设备来加强安全威胁检测和对关键资料的保护;二是企业要有已经受过训练和运作正常的威胁情报小组和事件调查小组。

　　绿盟科技产品经理韩志立认为，网络攻防之间的对抗是永恒的，安全厂商提出了一种防御手段，黑客就会尝试破解或者绕过，就如微软提出了DEP防护溢出攻击，黑客就会用ROP来应对。因此对于重要的业务系统，纵深的多重防御是非常必要的。现今很多产品都具备较强的应用控制能力，用户可以利用设备这方面的功能，进行更精细的策略控制，限制不必要的访问特别是外出连接。这样可以减少接触鱼叉式钓鱼攻击或水坑式攻击的机会，同时也有可能阻截、发现一些未知木马隐蔽信道的通信。

　　迈克菲北亚区技术总监郑林谈到，企业如果在没有专业的APT防护体系下，则需要更加认真地对现有安全体系进行运维。比如针对可疑的网络活动、关键设备日志进行详细的分析和跟踪，及时对安全设备和软件进行升级等等。此外，最终用户的安全意识教育也非常重要。

　　科来软件CEO罗鹰谈到，虽然很多安全厂家都推出了APT产品，也有自己的沙箱技术，但仔细比较一下，就会发现其区别非常大。对于APT安全产品来讲，业内公认的三种技术：沙箱技术、Shellcode检测技术、静态查杀技术。另外，无论是APT攻击还是传统的安全威胁，用户关心的是减少损失，一个好的APT监控平台，应该做到事前，事中，事后的侦测发现能力，除了做到预警和警报，更重要是能做到防御和控制。这要求具有未知恶意样本的发现能力，对溢出攻击，0day漏洞利用的检查能力，即便攻击成功，也要具有对木马管控通讯和心跳的发现能力，并能快速阻断和拦截相应的数据。

五、 APT攻击防护产品推荐

　　1、Fortinet FortiSandbox APT沙盒防御解决方案

　　FortiSandbox采用沙箱虚拟分析技术，在沙箱中模拟用户环境(如复制标准的工作站)运行待检测的代码，通过分析输出结果来确认某种攻击行为。通过Fortinet更多完善的安全过滤体系，可以帮助用户提升对APT攻击的识别和防御能力，如FortiOS v4.0的DLP功能，对APT可能导致的数据泄漏进行防御;FortiOS v5.0的IP信誉系统和用户信誉系统等，不断跟踪、记录网络中已知用户和匿名用户的网络行为和安全事件，通过大量关联分析、数据挖掘为每个用户计算安全信誉值，帮助管理员及时发现网络中的安全隐患，将APT攻击消灭在萌芽期;FortiGate与FortiSandbox相结合，利用多平台沙箱检测和云扫描技术，运行未知代码和URL，发现其中的恶意行为，帮助用户识别并防御0day攻击。

　　产品官网：

　　产品点评：FortiSandbox本地沙箱技术即解决了有效识别和拦截APT攻击的安全防御功能，又可以满足云安全的保密性要求。FortiSandbox的主要设计原理是首先明确筛选出“黑”与“白”文件，然后扫描“灰色”文件。同时FortiSandbox支持多种部署模式(独立模式、集成模式、分布模式等)，灵活方便，可以为用户节约大量的IT成本。

　　2、启明星辰恶意代码检测引擎

　　启明星辰恶意代码检测引擎是启明星辰公司推出的真对恶意代码(含：木马、病毒、蠕虫、僵尸网络等)具有高精度检测效果的一款专用产品，该产品除了对已知的各类恶意代码具有高精度的检测效果之外，同时还可以对未知恶意代码以及利用未知漏洞(0day)传播恶意代码的行为进行高精度的检测，目前该产品是国内唯一一款能够真正有效检测到未知恶意代码并能够对利用未知漏洞传播恶意代码的攻击进行有效检测的产品，其检测能力与国外最先进的Fireeye相当，通过对未知恶意代码，利用未知漏洞传播未知恶意代码的检测，可以检测出APT攻击的核心步骤，结合人工服务，可以有效检测并分析APT攻击。

　　产品点评：通过对已知和未知恶意代码的有效检测，启明星辰恶意代码检测引擎可以有效检测出企业IT系统存在的安全威胁。同时，还可以结合人工方式通过设备检测的报警日志信息的分析，对APT攻击进行有效的场景还原与攻击溯源。

　　3、趋势科技定制化智能防御解决方案

　　趋势科技在2011年就推出了针对APT的解决方案，称为“定制化智能防御战略”(Custom Defense Strategy)。要对抗黑客针对不同的企业网络环境定制化的APT攻击，需要能够为企业现有安全基础架构量身打造的定制化防御策略来响应，以侦测、分析、加固并响应针对性攻击。

　　其中，TDA是定制化智能防御战略的核心。TDA集成网络封包、应用内容、文件过滤、云计算安全、动态模拟分析等多种检测引擎，可以在威胁生命周期的各个阶段，识别标准安全防御所无法检测的恶意内容、可疑通讯与攻击行为，从而以最低的误判率和最大的覆盖范围提供最佳的检测，找出隐藏的威胁。

　　产品点评：趋势科技定制化智能防御解决方案将企业整个安全基础架构纳入量身打造的可适应防御中，企业可以根据自身特定环境和特定攻击者来调整此防御战略。这套解决方案整合了网络入侵防护、新一代防火墙、沙盒分析以及SIEM系统，能够提供完整的防御来对抗锁定APT攻击与进阶威胁。

　　4、McAfee ATD

　　McAfee提供了涵盖了发现、控制和修复三阶段的APT攻击防护解决方案。其核心产品是能够对高级别恶意代码进行识别的ATD(Advanced Threat Defense)产品。其他相关产品还包括McAfee的网关类产品，包括网络入侵防护NSP、下一代防火墙NGFW、Web安全网关，以及McAfee SIEM和Real Time等产品。其中，ATD产品是基于McAfee公司于2013年初收购的ValidEdge公司的技术研发的，与McAfee公司的其它安全产品构成了完整的APT攻击防护解决方案。

　　McAfee ATD 既可以作为独立的恶意软件设备进行部署，也可以无缝集成到您现有的McAfee网络安全投资(McAfee Network Security Platform 或 McAfee Web Gateway)中。文件会从现有的网络安全设备直接发送到作为网络中的代理部署的 McAfee ATD。

　　产品点评：McAfee ATD使用创新的分层方法，检测当今的隐匿零日恶意软件。它将防病毒特征码、信誉分析、实时模拟防御、深层静态分析和动态恶意软件分析(沙箱)相结合，分析恶意软件的实时行为。

　　5、翰海源星云多维度威胁预警平台

　　翰海源是国内最先专注于APT攻击检测技术研究与产品研发的公司，从2011年起就开始了APT攻击检测技术研究与产品研发，于2012年9月就推出了针对APT攻击检测的翰海源星云V1版本，2013年12月又推出了V2版本。

　　V1版主要以无签名算法检测为主，通过一些企事业单位的部署使用，获得了不错的反馈效果。V2版本中又提出了APT攻击的检测体系：无签名算法+动态行为分析+异常识别;漏洞检测+木马检测+隐蔽通道检测;

　　产品官网：

　　产品点评：作为国内最早进行APT攻击研究的安全厂商，翰海源被业界称为中国的FireEye。翰海源也是国内最早提出针对已知和未知漏洞利用、已知和未知特种木马、已知和未知隐蔽通道关联检测应对APT攻击的厂商。该体系结构基本成为国内APT攻击检测产品的共识。

　　6、安恒信息APT攻击预警平台

　　安恒信息APT攻击预警平台由 web应用预警检测系统、邮件预警检测系统、文件预警检测系统及APT预警综合分析系统组成。

　　WEB应用预警检测系统通过对Web流量和应用进行深度检测，提供了全面的入侵防御能力。

　　邮件预警检测系统对邮件协议进行深度分析，通过对已知、未知攻击漏洞的扫描和动态分析的方式检测邮件内容及附件是否含有APT安全威胁。

　　文件预警检测系统通过对内部网络流量进行抓包分析，捕获APT攻击行为，实现APT预警。

　　APT预警综合分析系统是APT攻击预警平台的重要组成，其通过对web应用预警检测系统、邮件预警检测系统及文件预警检测系统捕捉到的信息进行综合关联分析，直观展示攻击事件的内容和意图，并提供预警及报告。

　　产品点评：作为去年底刚刚发布的新产品，安恒信息APT攻击预警平台对于APT攻击的流程和方式有一个更为清晰的认识，通过利用数据的关联性进行统一分析和展现，可以使企业IT管理人员更有效的发现真正的APT攻击。

　　7、360天眼未知威胁检测系统

　　360天眼威胁感知系统是面向政府、军队、金融、电信、能源以及其他国家大型支柱性产业企业推出的针对APT攻击与下一代未知威胁的核心检测设备，该设备通过对APT的核心攻击过程(未知病毒、未知恶意代码、特种木马、未知漏洞(0day)利用)的精确检测，实现对APT攻击的发现。同时，360天眼威胁感知系统(TSS)亦可通过与360天擎终端安全管理系统(ESS)、360天机移动终端安全管理系统联动，构建对APT攻击从发现到阻断的分级、纵深防御体系。

　　产品官网：

　　产品点评：2013年，360在天擎产品上集成了“非白即黑“安全策略，今年即将发布的360天眼则侧重网络边界检测。一个终端、一个网关，在辅助以360强大的数据云引擎，可以说是良好的APT防护方案。

　　8、科来APT解决方案

　　科来APT解决方案是一套完整的解决方案，涵盖了异常流量分析、动态分析和全流量回溯分析的技术。用户可以评价异常流量和动态分析技术发现网络的异常和未知的高危文件型木马，使用全流量记录设备--回溯系统来调取工具数据进行数据包级的分析，系统还具有阻断功能，可以阻断高危的会话和域名访问，保护内部用户，做到及时的止损。这样使得APT解决方案从异常发现到取证和阻断能够形成一个闭环的工作模式。

　　产品官网：

　六、 总结

　　APT攻击所包含的某些技术手段，尤其是针对恶意软件检测的逃逸技术，如多态、变形等，已经逐渐成为主流。因此传统检测技术的作用会进一步减弱，而APT防护相关的一些产品或技术在此过程中会逐渐进入主流市场。

　　Fortinet中国首席技术顾问谭杰表示，“对于安全厂商来说，APT攻击的流行既是机遇又是挑战。机遇在于事实证明传统的单点安全防御很难防御APT，用户需要全方位立体安全防御体系，大量新的安全技术能够更快地推广，安全厂商也可获得更多的商业机会。而更多的是挑战，不同于传统安全产品的同质化，专业、复杂的APT攻击对安全防御提出了前所未有的高要求，在APT攻击面前，不同安全解决方案的优劣会很迅速地展现出来。安全厂商必须苦练内功，不断的提升产品和解决方案的功能、性能和质量，才能有效应对新的APT攻击，从而赢得用户和市场。”