對APT攻擊，科來總裁羅鷹表示，現(xiàn)在的攻擊手段多種多樣，利用各種系統(tǒng)漏洞或軟件漏洞進行滲透的惡意代碼，是關(guān)注較多的攻擊手段。而將來利用或盜用合法的認證簽名，利用瀏覽器漏洞和水坑攻擊將替代郵件攻擊將成為發(fā)展趨勢，并且攻擊者會更注重對虛擬機的逃逸技術(shù)，從而躲避安全廠商的動態(tài)檢測技術(shù)。

 

　　傳統(tǒng)的安全防御以特征檢測為主，只有獲得已知的攻擊樣本，提取到相應特征，才能有效進行檢測。羅鷹認為，目前的防御系統(tǒng)普遍存在兩個短板---一是對未知攻擊的發(fā)現(xiàn)能力不足，二是缺乏全流量安全審計能力。

 

　　羅鷹表示利用0day漏洞進行的APT攻擊，是非常難防御的未知攻擊，雖然防御難度高，但業(yè)界公認的動態(tài)檢測技術(shù)，則是一種有效的防御手段，可以通過執(zhí)行樣本來觀察其所有行為，檢測是否含有惡意的APT攻擊代碼。高級木馬是會匹配目標主機環(huán)境的，只有環(huán)境匹配才可能誘導樣本的木馬行為；同時，高級木馬又具備多種逃逸技術(shù)，甚至會通過是否具有人工動作判斷是否為虛擬機，避免暴露自己。所以動態(tài)檢測技術(shù)的優(yōu)劣還在于防木馬的逃逸檢測能力，不被木馬檢測是關(guān)鍵?；谟布噶钅M技術(shù)，則是一種更好的檢測對抗技術(shù)，美國的安全廠商Fireeye的優(yōu)勢就在于此。

 

　　然而，對于APT防御，動態(tài)檢測只是對抗惡意代碼或樣本的攻擊階段，對于攻擊前和攻擊后的行為分析，則需要有異常流量的檢測技術(shù)和全流量審計的回查技術(shù)來配合。木馬攻擊成功后，潛伏下來后會通過隱蔽信道技術(shù)躲避檢查，心跳數(shù)據(jù)非常少，甚至加密，混在大量的流量里，要辨別非常困難，猶如大海撈針。這需要有非常精確的應用和協(xié)議鑒別技術(shù)，通過建立異常行為模型可在一定程度上解決問題，也就是異常流量檢測技術(shù)。羅鷹表示，無論攻擊者如何隱藏，只要通過網(wǎng)絡傳輸，必然會產(chǎn)生相應數(shù)據(jù)，所以全流量的安全審計是APT安全檢測中必不可少的技術(shù)，其難點在于如何在大數(shù)據(jù)里快速過濾和回查數(shù)據(jù)。據(jù)了解，當前國內(nèi)很多APT安全產(chǎn)品缺乏完善的全流量安全審計技術(shù)。APT的對抗技術(shù)上，也有基于白名單的可信安全平臺，代表產(chǎn)品為Bit9，實現(xiàn)對終端軟件的信譽鑒定，只有那些符合安全策略定義的軟件才被認為可信和允許執(zhí)行。然而其門檻較高，除了需要大規(guī)模的終端部署之外，還需要大量的服務器進行云計算。

 

　　在最后，羅鷹對當前APT防護手段做了對比和分析。美國Fireeye的特點是動態(tài)檢測技術(shù)強大，采用硬件虛擬化技術(shù)，能有效的防止高級攻擊對虛擬機的反檢測，是目前最有效的APT動態(tài)檢測技術(shù)，并且Fireeye通過收購實現(xiàn)了流量深度分析能力，方案上更加完善。而科來的技術(shù)特點類似于Fireeye，除了具備硬件虛擬化動態(tài)檢測技術(shù)之外，科來一直專注于協(xié)議分析，在異常流量分析能力技術(shù)較強，并且具備全流量審計能力，對網(wǎng)絡數(shù)據(jù)具有深度挖掘能力。同時其采用的私有云技術(shù)也更符合國內(nèi)對安全管理的需求。

 

　　在網(wǎng)絡空間日益被重視的今天，羅鷹認為APT攻擊已經(jīng)是國家網(wǎng)絡空間對抗的一種手段。他表示國家網(wǎng)絡空間對抗不可避免，美國為首的五只眼，以及聯(lián)合更多國家的全球信息監(jiān)控，會進一步推動全球各國重視網(wǎng)絡空間對抗。APT攻擊是其中的主要方式之一，我們需要借鑒美國在網(wǎng)絡安全方面的投入和規(guī)劃。但是，我們面對APT攻擊防護起來難度要遠高于美國，因為美國掌握了大量的網(wǎng)絡資源和網(wǎng)絡技術(shù)，如根域名服務器、操作系統(tǒng)、芯片、交換機、路由器等，我們要建立的防御體系，需要具備像Fireeye和Bit9那樣有效的APT檢測手段，同時具備對數(shù)據(jù)的追溯回查能力，做到對APT攻擊的發(fā)現(xiàn)、追蹤、取證和防御。