综合防护、技术创新 APT防御双管齐下

“今年4月的《第18期赛门铁克安全威胁报告》显示，2012年APT攻击的数量较上一年激增了42%。而在这些意图窃取企业知识产权和商业信息的网络攻击中，31%是以中小型企业为目标。”赛门铁克大中华区信息安全技术支持部总监罗少辉如此告诉记者。

通常认为，APT攻击主要针对大型企业或者存在于国家之间的信息对抗中，如著名的谷歌极光（Google Aurora）攻击，似乎离中小企业很远。而罗少辉的一席话，一下子拉近了APT与大多数企业的距离。或许，APT就在你身边。

为什么是中小企业

“这份报告显示，针对员工超过2501人的大型企业的APT攻击占APT攻击总数的50%。更值得注意的是，针对员工人数在250人以下的中小企业们的APT攻击增长迅速，已经达到APT攻击总数的31%。”罗少辉认为，出现这种情况的原因在于，中小企业通常安全防护能力薄弱，使攻击者的攻击成本更低，而且从这些中小企业当中，同样可以获得较有价值的知识产权和商业信息。

面对这样的情况，中小企业不得不采取行动。“目前，很多APT防御方式都是单点的，根本无法有效解决问题。我们认为要保护所有规模的企业免受APT攻击的侵扰，需要在赛门铁克覆盖全球的智能情报网络的支持下，从端点、网关和数据中心各个层面进行综合部署和防护。”罗少辉认为。

罗少辉介绍，在端点防护上，企业应该进行主动式的端点防护，它包括入侵防御、高级扫描、洞察信誉、软件监控、深度修复等方面；在网关防护上，应该对电子邮件、文件以及Web应用进行全面的扫描和过滤；在数据中心防护上，则需要通过加固和保护虚拟化的IT基础设施、保护域控制器、屏蔽嵌入式系统、阻止零日攻击等手段来进行防护。

用技术创新防御APT

“赛门铁克是家技术公司，无论是端点、网关、数据中心还是全球智能情报网络，我们都不断地进行技术研发和创新，通过最先进的技术来帮助用户对抗APT攻击带来的严重威胁，保障企业的信息安全。”赛门铁克首席系统安全工程师马蔚彦告诉记者。

例如在端点防护方面，赛门铁克新增的Network Threat Protection技术能迅速感知攻击者向Mac系统传入的网络流量，从而准确定位APT攻击的漏洞利用并进行自动拦截。此外，Symantec Insight技术利用赛门铁克数百万客户的匿名软件部署模式来分析判定哪个软件受到世界各地用户的信赖，哪个软件属于未知或需要规避。而SONAR行为侦测技术能够自动监控受保护的端点上所有正在运行中的软件行为，实时分析每个运行中的应用行为。“去年，在赛门铁克拦截的威胁中，超过50%的威胁是由这三大主动式防御技术所拦截的。”马蔚彦介绍。

在网关防护方面，赛门铁克Messaging Gateway 10.5中新增的Disarm 技术由赛门铁克研发实验室开发，它的创新在于可以把电子邮件附带的常用文档进行无害化处理，即通过独家技术检查所有Microsoft Office和Adobe PDF附件，将威胁屏蔽和过滤后重构“干净”的文件，再发送给收件人。马蔚彦介绍告诉记者，Symantec Web Gateway（SWG）是另外一个监控所有入站和出站网站流量的网关类创新产品，专门用来发现和拦截APT攻击。SWG也利用Symantec Insight专利技术来自动发现“信誉度低”的文档，在它们到达用户之前将其拦截。

在数据中心防护方面，赛门铁克提供Symantec Critical System Protection（CSP）这一专为保护现实和虚拟基础设施的服务器锁定解决方案。用户可以通过安装并配置CSP来允许已知合法活动在服务器上运行，并拦截其它反常的活动。CSP会自动监测到服务器上APT攻击所产生的异常行为，并进行自动拦截。“只有被许可的程序才能在系统中运行，而且那些程序只能进行被许可的行为操作，访问被许可的资源。”马蔚彦表示，APT攻击是企业未来要面对的严峻挑战，而创新的技术以及综合性的防御体系是企业应对自如的关键。