APT火爆全球 McAfee欲在华推出“重型武器”
http://www.enet.com.cn/security/ 2013年03月28日19：33 来源：51CTO 【文章摘要】高持续性威胁（APT）是以商业和政治为目的的一个网络犯罪类别。APT需要长期经营与策划，并具备高度的隐蔽性，才可能取得成功。这种攻击方式往往不会 追求短期的经济收益和单纯的系统破坏，而是专注于步步为营的系统入侵，每一步都要达到一个目标，而不会做其他多余的事来打草惊蛇。
　　题记：高持续性威胁（APT）是以商业和政治为目的的一个网络犯罪类别。APT需要长期经营与策划，并具备高度的隐蔽性，才可能取得成功。这种攻击方式往往不会 追求短期的经济收益和单纯的系统破坏，而是专注于步步为营的系统入侵，每一步都要达到一个目标，而不会做其他多余的事来打草惊蛇。

　　2010年，Google对大众承认，公司服务器遭到严重攻击。经过调查发现，骇客在收集Google员工的个人信息之后，将精心构筑的恶意代码通过IE浏览器传输到受害人的电脑上执行。没有让任何防毒软件察觉。

　　在监听到Google雇员平时的服务器访问密码之后，登录服务器，不断获得各种敏感信息。神不知，鬼不觉。

　　无独有偶，紧接着在2011年，知名安全公司RSA的SecurID被骇客窃取，所用方式也如出一辙。

　　这两个被踢爆的APT攻击事件，真实的反映了APT高持续性威胁在业界暗流涌动的状况。更多尚未暴露的APT攻击，仍然在地下隐秘的活动着。而传统的防毒软件、IPS、防火墙，对这类危险的防御表现欠佳。

　　在最近网络上流行的一篇文章——《中国黑客传说：游走在黑暗中的精灵》中也反映了类似的情况，很多公司的内网、很多大型数据中心、很多城市的水电煤等基础设施……都可能被黑暗中的入侵者悄悄掌控着，他们将APT玩的炉火纯青，享受着无与伦比的快感。

　　APT攻击大多有着3个明显特点。

　　1、  前期的目标信息收集

　　2、  可绕过常规防护的EXP攻击

　　3、  有意的避免大规模扩散，锁定固定目标。

　　不管是为了经济目的、政治目的，还是成就感，这些攻击行为都是大型企业和机构所不能容忍的。

　　目前常规的防御手段也比较典型。

　　1、  UTM统一威胁管理

　　2、  IPS /IDS入侵防护/检测系统

　　3、  企业版反病毒毒软件

　　4、  安全日志管理系统

　　5、  VPN/SSL/SSH加密通信

　　6、  漏洞扫描器

　　7、  流量清洗及过滤产品

　　以上安全产品各有优势，但彼此协作并不多，容易各自为战，缺少智能的分析和判断能力。于是，像McAfee、RSA之类的一些安全服务提供商开始在这些安全产品之上研究出“重型武器”——SIEM和SOC类安全信息管控产品。这类产品具有智能分析和判断功能，可以有效增强客户对APT攻击的发现和锁定能力。之所以将这类安全产品成为“重型武器”，是因为这类安全产品是相辅相成的立体式防御架构，必须有很多安全工具与其配套，经过细致的规划和部署才能达到最佳效果。

　　目前在中国国内，SIEM的普及率并不高，而对应的知名品牌也比较少。据悉，国际安全公司McAfee将在2013年第二季度在华发布一款适用于中国客户的SIEM安全信息管理系统，可以与 McAfee的ePO、DLP、IPS等产品联动，以应对日益猖獗的APT攻击。在Gartner在2012年5月的报告中显示，他们的SIEM在国际排名中位居三甲之列，美国国防部也是其客户之一。

[招生]科锐逆向工程师培训(2024年11月15日实地，远程教学同时开班, 第51期)