全系统模拟捕捉APT

所有安全厂商都在谈论APT(高级持续性威胁)，但是如何防御APT则见仁见智了。

“我们认为，全系统模拟(Full System Emulation)的沙箱(Sandbox)技术可以更为有效地帮助企业防御APT攻击。”WatchGuard中国区市场总监万熠如此表示。近日，记者通过采访，了解到了WatchGuard这一全球领先的防火墙厂商对APT的理解。

APT相较于传统的安全威胁具有针对性强、隐蔽性高等特性。明枪易躲暗箭难防，如何发现APT都非常困难，就遑论APT的防御了。据记者了解，企业中确实出现过被APT攻击的案例，而且更为可怕的是，该企业在被攻击后的很长时间内，都对自己被攻击的事情一无所知。

一方面，APT攻击的操纵者会非常有针对性的进行为期几个月甚至更长时间的潜心准备，让企业凭借自身力量在海量的信息中去探测发现攻击行为几乎是不可能的。攻击者有可能会把恶意代码植入到企业中防护最薄弱的终端，但不会立即发动攻击。当一切准备就绪并锁定重要信息后，攻击者才会利用这条秘密通道悄无声息地将信息转移出去。另一方面，传统的恶意软件探测方式是以签名技术为基础的，但蠕虫、木马、零日(0day)漏洞为手段的攻击形式正在向复杂性更高的APT形式过渡，传统的安全产品正在变得毫无作为。这——正是APT的可怕之处。

“可以说，APT并不仅仅属于网络层面，也不仅仅属于应用层面。从防护的角度，我们可以把看作是一系列的网络行为。”万熠告诉记者，所以目前安全厂商应对APT所普遍采用的是沙箱技术。通过沙箱技术来模拟一系列网络行为所产生的后果，再通过大数据分析来判定其是不是APT攻击。

“要更好地捕捉APT，就要进行更为底层的行为模拟。于是，WatchGuard提出了全系统模拟的解决方案。”万熠介绍，目前的沙箱通常是某一层面进行模拟，比如对操作系统模拟。但是，如果一个恶意行为是读取内存，那么这个模拟可能就无法察觉这样的恶意行为。“全系统模拟的意思是从底层开始，构建从CPU、内存等硬件资源到操作系统、中间件的全系统沙箱，在这样的模拟环境中来监测网络行为，才能更为有效地甄别和捕获APT。”万熠说。

事实上，APT的攻击目标已经从政府和大型企业的关键基础设施转向规模更小的组织和企业。这是因为，这些企业甚至是中小企业的安全防护更为薄弱，但仍然具备一定价值的数据和商业机密，所以，它们未来将成为更为广泛的APT的攻击对象。为了帮助中小企业用户积极有效地应防御APT攻击，WatchGuard在其设备中实现了“APT拦截器”功能。在全新的v11.9版本中，用户即可以拥有实时、可视化的APT防御能力。

该方案基于WatchGuard的RED全球信誉评估云平台，使用仿真环境，APT攻击代码和包含零日威胁的恶意流量将自动提交到云端沙箱中进行分析。WatchGuard全球的五大数据中心以及独有的3大反病毒引擎并发检测技术将最终形成安全策略发布平台，帮助企业防范APT攻击。

另外，WatchGuard的 Dimension日志系统将利用大数据分析技术，真正意义上帮助用户拥有在数分钟内发现并追踪APT攻击源头能力，解决传统技术无法识别或是需要数日时间才能预警的被动局面。

“WatchGuard近期将推出入门级企业安全防护设备T10，吞吐量为220Mbps，适用于SOHO和小型企业。即使是在这样的设备中，我们同样提供了全系统模拟的APT防御能力。WatchGuard的产品思路始终是集成业界最好的防御方式，并将这些能力提供给所有的WatchGuard用户，当然这其中也包括最新的全系统模拟的APT防御能力。这是因为，无论规模大小，所有的企业都面临着与日俱增的安全威胁，帮助这些企业抵御安全威胁是WatchGuard的责任。”万熠说。