RSA大会亮点:APT

Sina WeiboBaiduLinkedInQQGoogle+RedditEvernote分享




[原文可参阅:http://sec.chinabyte.com/163/12672163_3.shtml]
FireEye恶意代码防御系统

FireEye可以说是本次RSA大会上最火的公司,它所推出的基于恶意代码防御引擎的APT检测和防御方案最引人瞩目。FireEye的APT安全解决方案包括MPS(Malware protection System)和CMS(Central Management System)两个组件,其中MPS是恶意代码防护引擎,它是一个高性能的智能沙箱,可直接采集网络流量,抽取所携带文件,然后放到沙箱中进行安全检测;CMS是集中管理系统模块,它管理系统中各MPS引擎,同时实现威胁情报的收集和及时分发。FireEye的MPS引擎有以下特点:

1)支持对Web、邮件和文件共享三种来源的恶意代码检测;2)对于不同来源的恶意代码,采取专门MPS硬件进行专门处理,目的是提高检测性能和准确性;3)MPS支持除可执行文件之外的多达20种文件类型的恶意代码检测;4)MPS可支持旁路和串联部署,以实现恶意代码的检测和实时防护;5)MPS可实时学习恶意代码的命令和控制信道特征,在串联部署模式可以实时阻断APT攻击的命令控制通道。

CMS除了对系统中多个MPS引擎进行集中管理外,还可以连接到云中的全球威胁情报网络来获取威胁情报,并支持将检测到的新型恶意代码情报上传到云中,以实现威胁情报的广泛共享。此外,FireEye还可以和其它日志分析产品结合起来,形成功能更强大的信息安全解决方案。FireEye被认为是APT安全解决方案的佼佼者,其产品被很多500强企业采购。

Bit9的可信安全平台

Bit9可信安全平台(Trust-based security Platform)使用了软件可信、实时检测审计和安全云三大技术,为企业网络提供网络可视、实时检测、安全保护和事后取证等四大安全功能,从而可以检测和抵御各种高级威胁和恶意代码。Bit9解决方案核心是一个基于策略的可信引擎,管理员可以通过安全策略来定义哪些软件是可信的。

Bit9可信安全平台默认假设所有软件都是可疑和禁止加载执行的,只有那些符合安全策略定义的软件才被认为可信和允许执行。Bit9可以基于软件发布商和可信软件分发源等信息来定义软件的可信策略,同时,bit9还使用安全云中的软件信誉服务来度量软件可信度,从而允许用户下载和安装可信度较高的自由软件。

这种基于安全策略的可信软件定义方案其实是实现了一个软件白名单,只有那些在软件白名单中的应用软件才可以在企业计算环境中执行,其它则是禁止执行的,从而保护企业的计算环境安全。Bit9解决方案还包括一个可安装在每个终端和服务器上的轻量级实时检测和审计模块,它是实现实时检测、安全防护和事后取证的关键部件。

Bit9的实时检测和审计模块将帮助你获得对整个网络和计算环境的全面可视性,通过它你可以实时了解到各终端和服务器的设备状态和关键系统资源状态,可以看到各终端上的文件操作和软件加载执行情况;同时,实时检测和审计模块还审计终端上的文件进入渠道、文件执行、内存攻击,进程行为、注册表、外设挂载情况等等。

Bit9解决方案还包括一个基于云的软件信誉服务,它通过主动抓取发布于互联网上的软件,基于软件发布时间、流行程度、软件发布商、软件来源以及AV扫描结果计算各软件信誉度。Bit9解决方案还支持从其它恶意代码检测厂商(比如FireEye)处获取文件哈希列表,从而可以识别更多的恶意代码和可疑文件。

趋势科技Deep Discovery

趋势科技的Deep Discovery专门为APT攻击检测而设计,它采用网络入侵检测技术来检测APT攻击的命令控制通道,同时,还可以通过在入侵检测引擎上部署恶意代码检测沙箱来弥补传统特征攻击检测的不足。Deep Discovery方案包括检测、分析、调整、响应四个步骤。

产品形态上包括Inspector和Advisor两个组件。Inspector是个网络入侵检测引擎,依据获取的威胁情报信息来检测APT攻击过程中的命令控制通道,Inspector可以通过Advisor及时获取到趋势科技的全球威胁情报信息,以便及时检测到各种新型的APT攻击命令控制通道;同时,Inspector还包括一个Virtual Analyzer组件,它是一个智能沙箱,用来分析捕获的恶意代码。Adivsor为一个管理组件,可以实现对各Inspector引擎的集中管理;同时,它还包括一个可选的恶意代码分析引擎,可以接收来自检测引擎的恶意代码,从而实现恶意代码的集中分析;此外,Advisor还承担了威胁情报的实时收集和分发工作,以实现各Inspector引擎之间威胁情报的广泛共享。

RSA的NetWitness

RSA NetWitness是一款革命性的网络安全监控平台,它可为企业提供发生在网络中任何时间的网络安全态势,从而协助企业解决多种类型的信息安全挑战。

RSA NetWitness是一组软件集合,针对APT攻击的检测和防御则主要由Spectrum、Panorama和Live三大组件实现,其中,RSA NetWitness Spectrum是一款安全分析软件,专门用来识别和分析基于恶意软件的企业网络安全威胁,并确定安全威胁的优先级;RSA NetWitness Panorama通过融合成百上千种日志数据源与外部安全威胁情报,从而可可以实现创新性信息安全分析;RSA NetWitness Live是一种高级威胁情报服务,通过利用来自全球信息安全界的集体智慧和分析技能,可以及时获得各APT攻击的威胁情报信息,极大缩短了针对潜在安全威胁的响应时间。

RSA NetWitness具有以下特点:1)可对所有网络流量和各网络服务对象的离散事件进行集中分析,实现对网络的全面可视性,从而获得整个网络的安全态势;2)可以识别各种内部威胁、检测零日漏洞攻击、检测各种定向设计的恶意代码和检测各种APT攻击事件和数据泄密事件;3)可对所捕获的网络和日志数据进行实时上下文智能分析,从而为企业提供可行动的安全情报信息;4)可以借助NetWitness监控平台的可扩展性和强大分析能力来实现过程自动化,从而减少安全事件响应时间,并对变化的安全威胁做出及时调整。

(没有打分)

雁过留声

“RSA大会亮点:APT”有5个回复

  1. 又创新了? 于 2014-03-04 11:08 下午

    拟态安全,有人知道什么原理吗?好象中国首创的。863申请指南中列着,看着大吃一惊,自认为安全方面还是跟着很紧的呢,可从没听说过。

  2. Jelly 于 2014-03-05 5:17 下午

    哎,所有的APT方案不外乎两类:沙箱和信誉白名单,都不是根治。其实厂家卖的都是方案包装,真心没有看到防御住APT的案例。

  3. tomqq 于 2014-03-06 6:22 上午

    我还是那句话,真安全要基于从芯片到os到app的信任链传递

  4. tom 于 2014-05-04 8:06 下午

    都是自家产品堆起来的方案,apt要一个非常完整的方案,单靠一个厂家堆不起来

  5. Valeyard 于 2015-02-17 8:03 下午

    “我还是那句话,真安全要基于从芯片到os到app的信任链传递”

    就算能从芯片一路verified boot到静态的app (.exe文件), 验证 动态运行时的app和静态的.exe文件世一样的, 也是几乎不可能的 (例如,cfi/cpi之类的想验证运行时的control flow是符合静态的app,但overhead巨大, 无数paper口水战后还是没有很好地解决方案).