动静结合应对APT攻击

当你在家里用台式PC上网点击一封关于产品促销或NBA新秀林书豪最新消息的邮件时，很难想象到这个点击动作会导致黑客窃取你所在公司的信息。但事实上，APT攻击（高级持续性攻击）正在通过一切方式，绕过基于代码的传统安全防护，并更长时间地潜伏在系统中，让传统防御体系难以侦测。

趋势科技的2012年第一季度安全威胁报告显示，今年第一季度趋势科技共侦测到153亿封垃圾邮件、15亿个URL下载、33.8万个恶意软件。恶意网络攻击活动正变得日益频繁。

黑客反侦测能力正在提升

企业的IT环境发生了很大变化，数据中心虚拟化和终端多样化应用越来越多。趋势科技预测，2012年针对企业的APT攻击导致的企业数据泄露事件将大幅增加。黑客入侵的途径主要有三种类型：以智能手机、平板电脑和尤盘等移动设备为攻击对象，继而入侵企业信息系统的攻击方式越来越多；基于社交工程学的恶意邮件是许多APT攻击成功的关键因素之一；利用防火墙、服务器等系统漏洞获取访问企业网络的有效凭证信息是使用APT攻击的重要手段。

“黑客攻击的目标也不再局限于大企业，更多的中小企业将受到越来越多的攻击，并且成为黑客攻击链路中的一环。”趋势科技中国区资深产品经理林义轩表示，“APT攻击不再只针对某一个特定对象进行针对性攻击，而是正在向行业性的方向转换，并且会从一个行业扩张到另一个行业。金融、证券、基金等业务领域都出现了这种威胁。”

APT攻击的显著特点是潜伏性和持续性。“黑客已经不急于在短期内获利，而是通常会蛰伏一年以上甚至更久时间，将被控主机当成跳板，持续搜索企业信息，直到能彻底掌控目标的人、事、物。”林义轩称，在此期间黑客会不断尝试各种攻击手段，并且对抗安全软件的检测。

以往，恶意代码中如果包含已知病毒和威胁，很快就会被侦测出来。但是，黑客的反侦测能力正在不断增强。趋势科技的安全报告显示，APT攻击使用的一些高级工具，被侦测出来的概率通常低于20%。据林义轩介绍，为了更好地隐蔽在企业网络中，黑客会在设计网络威胁时携带目前业界最新的防病毒软件的病毒代码，并且提升病毒更新频率以防止被侦测到。

此外，黑客还会发起日志风暴以躲避安全设备的分析。在数以百万计的海量日志下，如果只有三四笔可疑通信日志，用户通常很难辨识出威胁内容。

APT攻击手段不断更新，传统的安全防护策略已经难以保护企业的服务器和网络安全。

动态分析与静态分析相结合

黑客的攻击行为通常分为四个阶段，即渗透企业网络、横向移动、侵入数据库和窃取数据。企业在部署安全防护策略时，也应该针对不同阶段采取相应措施。基于这个思路，趋势科技推出了TDA 10000解决方案。通过对全球APT攻击事件进行全面调查，访问重点客户，参与全球1000强组织和政府机构组成的特殊产品咨询委员会，趋势科技掌握了丰富的APT攻击资料，在此基础上推出的TDA 10000可以有效抗击APT攻击。

“针对黑客攻击的不同阶段，TDA 10000提供了各项对应的侦测分析能力，以协助管理者更快、更及时地发现威胁。”趋势科技中国区产品经理蒋世琪向记者介绍，TDA 10000的侦测和分析分为静态分析和动态分析两部分：

静态分析与其他大部分传统安全软件一样，也具有病毒代码匹配、漏洞攻击代码检查及行为分析和URL判定等功能。

除此之外，TDA 10000还具有动态的沙盒模拟分析功能。“沙盒具备很多探针，基于趋势科技20多年来积累的病毒研究经验，这些探针会通过模拟不同行为，判断可疑文档是否存在安全威胁。”在蒋世琪眼里，这种类似于培养皿的检测方式，可以让那些恶意文档无所遁形。

对于黑客发起的日志风暴，传统的IDS/IPS检测方式的确可以检测出一部分未知威胁，但通常要花费大量时间和人力对日志进行分析。针对这种情况，趋势科技在TDA 10000中内嵌多协议关联文件。当TDA 10000的分析引擎产生了100条日志，多协议关联分析引擎再关联之后，筛选出的可疑日志可能只有两三条。此外，TDA 10000的实时威胁仪表板，能够提供防御、发现并阻止针对公司数据的攻击行为所需要的深入分析和行动情报。

安全防护系统的自学习能力，对于应对层出不穷的威胁而言至关重要，而趋势科技云安全百科就相当于这样一个专家知识库。它汇聚了趋势科技多年来在防病毒方面的经验，不仅包含病毒本身的详细信息，而且提供了用户遇到不同威胁时的处理方式建议。通过将TDA沙盒模拟运行分析与云安全百科关联起来，用户可以更快、更容易地了解该如何处理这些未知威胁。