转发以前微信公众号发的文章,Sec-UN独家。
今天8一下也算比较热门的Advanced Persistent Threat 高级威胁防御产品。
目前市场上号称APT防御的产品众多,有的是网络协议分析、有的是沙箱、还有的是桌面防毒,还有很多传统安全产品简单化妆一下也当做防APT产品的,还有的同学认为只有沙箱类型的才是真正的APT防御产品。其实呢,APT防护产品既不是只有沙箱类型,也不是IDS弄来就是。今天就借Gartner的定义来科普一下吧,虽然他说的不见得全对,但是也是一个基本完善的好参考。
Gartner把高级威胁防御产品定义了5种类型,为网络流量分析型、网络取证型、Payload分析型、终端行为分析型、终端取证型,见封面图。
网络流量分析型,主要进行DNS流量模式、Netflow、内容分析和协议分析等,其长处在于实时检测、无签名和基于签名的检测、不需要终端部署,其挑战主要是需要维护人员进行精心设置并具备丰富知识来处置虚假告警、并且对攻击阻断能力有限(多带外)、对离线移动终端存在盲点,防火墙、IPS、WAF和Arbor等流量分析产品都算这个类型。
网络取证型,主要进行全包捕捉和存储、分析和报表工具、输出和维护网络主数据等,其长处可以提供搞的ROI(降少事故响应时间和人员)、在数天乃至数周后仍可重放流和事件、帮助满足关于分析和监控法律法规需求,其挑战为工具的发砸星、需要有技能的使用人员、产生报表的时间可能达数小时以上。
Payload分析型,主要在沙箱环境(云或本地)中分析可疑对象、详细描述恶意软件行为信息等,其长处为无需签名的检测、可以得到恶意软件行为的详细行为报告、可选的对向外回连的阻断,其挑战为运行恶意代码进入环境中、并且存在可逃逸沙箱检测的技术、大多沙箱仅包括Windows、不能提供恶意软件已在终端的执行验证,目前市场上主要的FireEye、PANW的野火等都属于此种类型。
终端行为分析型,主要对应用和文件使用虚拟容器进行隔离(允许恶意代码执行,容器对系统内核调用进行阻断)以及系统配置、内存、进程的监控,其长处在于可以通过应用的绒里隔离阻断0day攻击、支持对在线/离线系统的保护、基本的取证能力,其挑战为需要部署单独的客户端、客户端对系统/文件类型/应用/浏览器有支持限制、应用容器方案需要耗用更多的CPU和内存。
终端取证型,主要可以识别被入侵的终端、识别特定的行为、对被入侵特征的识别(如可以的Windows注册表键值创建、DNS请求、可执行文件安装),其长处是可以包住自动处置应急任务、支持对在线/离线主机的监控、部分客户端程序可以提供在其他终端发现的恶意软件的阻断,其挑战为需要安装客户端、不能实时阻断0-day攻击、对非Windows终端支持有限。
最后附产品对应图一张。
这篇内容大多来自于对Gartner的翻译,部分加了点个人见解。原文见 http://my.gartner.com/portal/server.pt?open=512&objID=202&mode=2&PageID=5553&showOriginalFeature=y&resId=2589116&fnl=search&srcId=1-3478922244 。