APT安全解决方案面面观

今年的全球著名信息安全峰会RSA 2013共有350家安全厂商参展,厂家数量超过了以往的RSA年会。单从技术热点来看,这两年的RSA峰会热点并没有太多变化,依然还是围绕数据安全、企业安全管理、合规性、应用程序安全、DLP等热点,而围绕数据和企业安全的APT检测成为了今年RSA大会的最热门话题。

APT攻击是近几年来出现的一种高级攻击,具有难检测、持续时间长和攻击目标明确等特征。传统基于攻击特征的入侵检测和防御方法在检测和防御APT方面效果很不理想,因此,各安全厂商都在研究新的方法并提出了多种多样的解决方案。

在下文中,介绍典型APT检测和防御产品:

FireEye恶意代码防御系统

FireEye可以说是本次RSA大会上最火的公司,它所推出的基于恶意代码防御引擎的APT检测和防御方案最引人瞩目。FireEye的APT安全解决方案包括MPS(Malware protection System)和CMS(Central Management System)两个组件,其中MPS是恶意代码防护引擎,它是一个高性能的智能沙箱,可直接采集网络流量,抽取所携带文件,然后放到沙箱中进行安全检测;CMS是集中管理系统模块,它管理系统中各MPS引擎,同时实现威胁情报的收集和及时分发。

FireEye的MPS引擎有以下特点:

1)支持对Web、邮件和文件共享三种来源的恶意代码检测;

2)对于不同来源的恶意代码,采取专门MPS硬件进行专门处理,目的是提高检测性能和准确性;

3)MPS支持除可执行文件之外的多达20种文件类型的恶意代码检测;

4)MPS可支持旁路和串联部署,以实现恶意代码的检测和实时防护;

5)MPS可实时学习恶意代码的命令和控制信道特征,在串联部署模式可以实时阻断APT攻击的命令控制通道。

CMS除了对系统中多个MPS引擎进行集中管理外,还可以连接到云中的全球威胁情报网络来获取威胁情报,并支持将检测到的新型恶意代码情报上传到云中,以实现威胁情报的广泛共享。此外,FireEye还可以和其它日志分析产品结合起来,形成功能更强大的信息安全解决方案。FireEye被认为是APT安全解决方案的佼佼者,其产品被很多500强企业采购。

原文出自:比特网