2012年7月 逐鹿反APT
晕,居然忘了贴了...8月的都快出来了
逐鹿反APT
——2012年7月安全天下事
江海客(安天实验室)
本月一些安全会议陆续召开,包括“构建安全、和谐的网络环境”的中国计算机网络安全年会、《信息安全与通讯保密》杂志社理事会议等等。这些会议的共同热点之一是如何对抗APT(高级持续性威胁)攻击。
与此同时,关于APT的各种最新消息,也在网络上传递交汇。
6月29日,Kaspersky宣布发现Mac OS X上一个名为MaControl的后门软件。该恶意代码正在通过电子邮件附件的形式传播,Kaspersky认为它是某个APT攻击的一部分。
7月18日, F-Secure则展示了一批文档文件,包括MS-Word、MS-Excel、PDF等格式,均用于APT攻击,其中包含了漏洞利用代码,可以加载要投放到计算机中的后门。
从产业界来看,新的一轮产品竞跑正在出现。国内企业虽然落后了两年,但看起来跟进的速度并不慢。
对抗APT有多种技术思路,一种是演化出类似FireEye、Damballa等反病毒领域的深度分支产品,这些产品基本上是采用流量获取与虚拟加载相结合的方法,重点在于应对格式溢出漏洞尤其是0day漏洞。国内也有瀚海源、安天等几家公司进入了这个领域。
有趣的是,我们很难从官方网站或其他公开渠道了解到相关产品的详细端倪。反病毒产品最大的软肋之一,在于它是一种易于获得的资源,因此非常容易被攻击者用于针对性的攻防对抗——恶意代码作者可以一直编写和测试直到反病毒产品失效为止。因此反APT产品对细节的讳莫如深也不难理解。
另一种思路则是以白名单思想为基础、以私有云为依托的解决方案,国内也有金山、江民等厂商在做类似的尝试。这种解决方案通过安全基线的方式解决执行准入问题,是基于传统反病毒技术基础、但有所突破的另一种尝试。
私有云的问题可能与可信计算比较类似,它更多解决的是有文件载体的可执行体安全问题,但这种思路应对非可执行文件的威胁能力不足。此外,鉴定效果与采集能力有关,可能会遇到Rootkit的挑战。
传统的安全设备厂商自然也不会放弃相关的努力,他们把很多工作放在了对长期数据的缓存和对大数据的回溯分析之上。今天的0day会在某一天变成可检测的已知漏洞,那么,既然APT将实时对抗变成几乎不可完成的任务,那么能够回溯,总比一无所知更好。预计存储厂商对这种思路也会欢欣鼓舞。
SANS安全研究机构专家Rob Lee则从用户素质的角度看待问题,他认为,APT攻击可以被阻止,但这需要企业接受一系列的训练。他指出,财富500强已经有超过50%的企业遭到过APT攻击,“你可以根据过去预测未来。敌人不可能改变所有的手段,只要你了解了他们,就能更好地面对下一波攻击。”
APT背景下,一切均不可靠将成为一条定律。近日一个特殊的渗透设备就被曝光,表面上这是一只插线板,但实际上却是内置了Wi-Fi、以太网、蓝牙和3G通讯模块的专用渗透设备,能成为入侵内网的跳板使用。就像传统窃听器经常装在灯头上来解决动力的问题一样,把插座转化成攻击跳板也是如此的思路,尽管这个方法此前多次见诸网络文献,但一直还停留在民间有限的尝试。而这款设备则工艺水准很高,并以1295美元的价格出售。但这些都不是最值得关注的,最引人瞩目的是该项目的背景——由DARPA(美国国防部高级研究计划局)资助开发。管中窥豹,可见一斑,我们已经可以看到“大玩家”(国家与政府)入场后,网络世界的秩序图景将会有怎样的变局。
2012年7月 逐鹿反APT相关推荐
- C语言三位数反序且if,2012年10月14日江苏省高校计算机等级考试二级C语言上机题(C02)及其解答_张柏雄...
[上机题命题评述]2012年10月14日C01套编程试题是求三位数的水仙花数及其反序数分别存入数组a和b.为本作者于2011年6月15日在豆丁网上发布的"★预测江苏省计算机C语言等级考试的八 ...
- 2012年5月《苹果的安全之缺》
苹果的安全之缺 --2012年5月安全天下事 江海客 Mac OS X无疑是过去一段时间的安全焦点,这一切要从木马Trojan/OSX.Flashback说起.尽管这个病毒在2011年末就已经出现,但 ...
- 2012年4月语言榜
几个结论: C 语言已经反超 Java,重获语言榜首位的宝座.我关于语言发展趋势的3个判断: * Java 语言市场份额不断下跌,并最终被C语言和Go语言超越. * C语言将长期居编程榜第二,并有望在 ...
- 敏捷日记(2012年3月到2012年5月)
[2012年5月18日] 总结一下回顾会议怎么开 0.回顾上次会议中的问题top3有没有被解决 1.会议的目的是回顾过去的一个迭代,顺便发泄发泄. 2.会议内容包括但不限于表扬.批评(如case st ...
- 分手了还能做朋友吗?(2012年2月22日)
分手了还能做朋友吗?(2012年2月22日) 因,最后不欢而散,在分手时,总有一方会说出那句最真实的谎言--希望我们还能是朋友.如果是我,并且觉得自己非常的受伤,彼此爱过,恨过,就不可以做朋友,我想也 ...
- 2013年10月20日江苏省高校计算机等级考试二级c语言,2012年10月14日江苏省高校计算机等级考试二级C语言上机题(C02)及其解答_张柏雄.doc...
2012年10月14日江苏省高校计算机等级考试二级C语言上机题(C02)及其解答_张柏雄 [上机题命题评述]2012年10月14日C01套编程试题是求三位数的水仙花数及其反序数分别存入数组a和b.为本 ...
- 2012华东架构师大会将于2012年11月18日在上海举办
会议名称:华东架构师大会 时间:2012年11月18日08:30 - 18:00 (星期天) 地点:上海市杨浦区国定东路200号中国创业者公共实训基地主楼22层 参会形式:免费报名制(注释:须事先报名 ...
- 2012年10月 《SHA-3花落Keccak》
SHA-3花落Keccak --2012年10月安全天下事 江海客 2012年10月3日,美国国家标准与技术研究院(NIST)宣布新一代hash算法SHA-3的漫长遴选已经产生结果,经过4年的时间,K ...
- 完整的浏览器统计信息-2012年9月
tr, td { padding: 0 !important; } td img {max-height: 15px !important; } 我认为与您分享2012年9月期间用于查看该网站的每个浏 ...
最新文章
- RFID读写器Impinj R420开发C#
- python简单界面实现-python实现的简单窗口倒计时界面实例
- 从零学习 vim 一个多月, 感觉最有用的三个教程
- Oracle DBlink相关
- SpringMVC源码——未完待续
- 深度学习核心技术精讲100篇(六十三)-【CNN】一文详细讲解前因后果
- 宁波python学习_python学习第十五天
- Android 中的 Context
- 二叉树序列化与反序列化相关题目(Leetcode题解-Python语言)
- 你知道自己适合做程序员吗?
- SQL Server数据库迁移最佳实践,可降低风险和停机时间
- 谷歌、火狐浏览器扩展开发
- Proe/Creo产品结构设计概述
- 谈谈外贸自建站收款方式及优缺点有哪些?
- python为csv文件添加表头_csv大文件分割以及添加表头
- HTTP与HTTPS是什么?http和https的区别
- 商业智能在医疗卫生领域的应用
- BitTorrent Sync简介
- 搜索引擎原理第二阶段之预处理
- java虚拟机运行机制