神秘的另類APT解決方案
2013年之后及未來很長一段時間�����,我們將面臨的主要威脅除了木馬之外����,還包括定向攻擊����。大規(guī)模爆發(fā)的病毒逐漸在減少�,但是我們并沒有感受到越來越安全�,相反,各種網(wǎng)絡(luò)威脅變得越來越詭秘��,它們的打擊變得越來越定向����,攻擊目標(biāo)也越來越多元,網(wǎng)絡(luò)所面臨的風(fēng)險提升到了針對特定領(lǐng)域與特定機構(gòu)的定向APT攻擊�。
主流APT解決方案對比分析
1、傳統(tǒng)特征匹配+虛擬執(zhí)行引擎�����。代表:Fireeye
基于行為異常的檢測方法核心思想是通過沙箱(高級蜜罐)模擬運行環(huán)境�����,把未知程真實運行一遍���,從程序工作的行為判斷其合法性。
優(yōu)點:判斷準(zhǔn)確性較高不易誤判或漏判;
缺點:計算資源消耗比較大���,部署成本較高;
2����、基于白名單的終端安全檢測方案。代表:Bit9
通過在公有云上部署的80億條白名單庫����,對安裝在用戶終端上的終端軟件提供注冊服務(wù),凡在白名單庫里未注冊過的文件均被終端禁止訪問�����,同時其終端軟件具有終端管理軟件常見的屬性�����,如移動設(shè)備控制�、注冊表保護(hù)等。
優(yōu)點:節(jié)省了計算資源����,部署成本低;
缺點:不夠靈活,根據(jù)事先定義的特征�����,很有可能導(dǎo)致阻斷合法應(yīng)用;
3、私有云解決方案����。代表:網(wǎng)御星云、Fortinet
網(wǎng)御星云私有云解決方案通過系統(tǒng)智能集成的海量黑白名單�����、規(guī)��;摂M機動態(tài)鑒定等����,對文件是否包括惡意行為進(jìn)行判定,形成自動化分析報告���,并與安全網(wǎng)關(guān)進(jìn)行聯(lián)動���,在不影響轉(zhuǎn)發(fā)性能的前提下大幅增強安全網(wǎng)關(guān)的檢測能力。
優(yōu)點:節(jié)省了安全網(wǎng)關(guān)的計算資源�����,檢測準(zhǔn)確性較高不易誤判或漏判��,結(jié)合網(wǎng)關(guān)部署方式較靈活��。
