提到APT,有两家安全厂商被人所熟知,一是FireEye,二是Bit9。FireEye擅长沙箱技术,在网络的边界进行安全检测;Bit9的优势则是白名单技术,在终端检测。两家的技术被美国军方采用,并且不向中国输出。
不过,在启明星辰看来,无论是FireEye还是Bit9,它们在APT的防御上并不完美。FireEye的虚拟执行引擎计算资源消耗比较大,并且部署成本较高。Bit9基于白名单的终端安全检测方案不够灵活,根据事先定义的特征,很有可能导致阻断合法应用。
启明星辰联合网御星云联合推出了“网关+私有云”的APT解决方案,启明星辰产品管理中心总工沈颖在接受ZDNet采访时表示,“网关级APT解决方案集成了启明星辰在APT检测的能力优势和网御星云在高性能网关上的技术基因。和过往大多数APT防御方案聚焦在如何将其检测出来的思路不同,我们的方案实现了可检测,并且实时阻断。”
沈颖进一步指出,启明星辰网关级APT解决方案的目标是实现高检测率和高性能的平衡。具体看来,首先网关对于已知确认的非威胁的内容和文件实现快转发。第二,在私有云中心有一个黑白名单,它是基于快速的匹配机制。第三,对于真的需要仔细分析和耗时比较久的疑似威胁,放到沙箱中模拟运行环境。
“这样的方案对性能影响很小,对网关自身的性能影响很小,又实现了深度和有效的APT检测。”沈颖说。
分解私有云APT的防御方案来看,它是通过安全网关与云中心联动、安全网关与安全网关之间信息共享,强化了安全网关的防护能力,实现全网动态防御。
网关私有云主要采用动态分析手段捕获未知0day攻击,利用虚拟机和内核监控手段,将样本投放到虚拟机中运行,监控并记录其运行的本地行为,如注册表的修改、系统文件的修改和网络信息。记录下样本运行态的信息,判定样本的类别,感染程度以及危害等级。
传统的方案是以分析为主,沈颖强调,启明星辰APT防御方案突出的是实时分析的同时有防御能力。比如一栋大楼具备的视频监控系统和保安,当有可疑的人进入大楼时,保安能够直接或根据智能视频监控系统给出的警示及时将人拦下。他们之间实现的是有效协作,而不是大楼遭到盗取或其他损失时,再返回来找人。
相比FireEye和Bit9,以启明星辰为代表的私有云解决方案通过系统智能集成的海量黑白名单、规模化虚拟机动态鉴定等,对文件是否包括恶意行为进行判定,形成自动化分析报告,并与安全网关进行联动,在不影响转发性能的前提下大幅增强安全网关的检测能力,沈颖强调。
这种模式的优点是节省了安全网关的计算资源,检测准确性较高不易误判或漏判,结合网关部署方式较灵活。
当被问到“网关+私有云”模式的成本时,沈颖表示,相比其他APT的方案,这种方案是为用户省钱的。比如终端的APT方案,除了要部署服务器之外,还要在每一个终端上装一套软件,这些都是按点来计算成本的。对于启明星辰来说,一个大的企业组织具备几百台以上的网关,它建一个云中心就可以了。