Contents 目 录 APT 专 题 /04 安 全 视 点 /43 从 RSA2103 看 厂 商 APT 检 测 道 /4 基 于 记 忆 的 APT 攻 击 检 测 系 统 /9 浅 谈 APT 攻 击 的 检 测 与 防 御 /13 新 型 威 胁 分 析 与 防 范 研

Transcription

1

2 Contents 目 录 APT 专 题 /04 安 全 视 点 /43 从 RSA2103 看 厂 商 APT 检 测 道 /4 基 于 记 忆 的 APT 攻 击 检 测 系 统 /9 浅 谈 APT 攻 击 的 检 测 与 防 御 /13 新 型 威 胁 分 析 与 防 范 研 究 /17 深 入 解 读 RSA2013 热 点 技 术 /44 大 数 据 : 高 端 安 全 检 测 的 必 由 路 /49 当 息 安 全 遇 上 应 用 交 付 /52 国 产 数 据 库 安 全 审 计 市 场 正 崛 起 /54 息 安 全 的 大 年 和 小 年 /56 非 常 安 全 /23 安 全 实 践 /58 息 安 全 2012 年 年 度 热 点 回 顾 及 2013 年 年 度 热 点 展 望 /24 金 融 机 构 如 何 建 立 内 部 应 用 系 统 安 全 测 试 体 系 /59 数 据 库 审 计 产 品 从 根 本 化 解 统 方 难 题 /64 论 息 系 统 安 全 四 化 建 设 /68 数 据 库 全 方 位 防 护 专 访 启 明 辰 滕 文 静 /71

3 辰 动 态 /31 安 全 研 究 /74 VenusTech 2013 年 月 TOP 10 安 全 漏 洞 /75 辰 文 化 /78 点 灯 /95 与 爱 同 行 传 递 正 能 量 启 明 辰 特 派 员 工 亲 赴 宝 兴 县 地 震 灾 区 /79 在 路 上 我 的 爱 心 行 /83 行 是 知 始 实 践 出 真 知 纪 2013 年 Q2 公 司 产 品 工 程 实 施 规 范 及 技 术 交 流 大 会 /84 听 苹 果 父 讲 生 命 中 的 三 个 故 事 /96 神 奇 的 中 药 ( 四 ) 夏 日 中 成 药 /100 轻 松 一 刻 唐 僧 师 徒 的 极 品 笑 话 ( 一 )/101 Venus, 我 来 啦 /85 致 不 可 重 新 来 过 的 青 春 / 总 结 - 工 作 篇 ( 入 定 )/89 读 来 读 往 万 物 静 默 如 迷 辛 波 斯 卡 诗 选 / 年 06 月 刊 总 第 53 期 出 品 : 北 京 启 明 辰 息 技 术 股 份 有 限 公 司 编 辑 : 编 辑 部 名 誉 主 编 : 严 望 佳 主 编 : 潘 重 予 副 主 编 : 赵 武 进 执 行 主 编 : 徐 杨 地 址 : 北 京 市 海 淀 区 东 北 旺 西 路 8 号 中 关 村 软 件 园 21 号 启 明 辰 大 厦 邮 编 : 电 话 : 传 真 : 网 址 :

4 A P T 专 题 APT 4 APT 是 当 前 网 络 安 全 业 界 最 为 热 门 的 话 题, 这 种 改 写 了 网 络 安 全 游 戏 规 则 的 攻 击 行 为, 组 织 严 密 目 标 明 确 手 段 高 超 危 害 巨 大, 其 受 害 者 中 不 乏 大 型 企 业, 国 家 机 构 面 对 APT 攻 击, 传 统 的 安 全 防 范 手 段 无 能 为 力, 本 次 APT 专 题 邀 请 了 几 位 专 家 从 各 自 专 业 的 角 度 出 发, 全 面 分 析 了 APT 攻 击 并 提 出 了 可 实 践 的 应 对 解 决 举 措, 有 助 于 各 位 加 深 对 APT 的 理 解

5 从RSA2103看 厂商APT检测道 文/叶润国 一些代表性厂商的APT安全解决方 问该网站时 就遭受到网页代码的 RSA2013于2月25日到3月1 案和产品 攻击 RSA公司去年发现的水坑攻 击 Watering hole 就是采用这种 日在美国旧金山召开 本次RSA峰 会主题是 掌控数据 安全世界 APT攻击过程分解 攻击方法 这些恶意代码往往攻击 Mastering the data, securing 整个APT攻击过程包括定向情 的是系统未知漏洞 现有杀毒和个 the world 本次RSA峰会共有 报收集 单点攻击突破 控制通道 人防火墙安全工具无法察觉 最终 350家安全厂商参展 参展厂家数 构建 内部横向渗透和数据收集上 结果是 员工个人电脑感染恶意代 超过了以往RSA年会 单从技术热 传等步骤 码 从而被攻击者完全控制 点来看 这两年的RSA峰会热点并 1 定向情报收集 即攻击者有针 3 控制通道构建 即攻击者控制 没有太多变化 依然还是围绕数据 对性的搜集特定组织的网络系统和 了员工个人电脑后 需要构建某种 安全 企业安全管理 合规性 应 员工息 息搜集方法很多 包 渠道和攻击者取得联系 以获得进 用程序安全 DLP等热点 而围绕 括网络隐蔽扫描和社会工程学方法 一步攻击指令 攻击者会创建从被 数据和企业安全的APT检测成为了 等 从目前所发现的APT攻击手法 控个人电脑到攻击者控制服务器 今年RSA大会的最热门 APT攻击 来看 大多数APT攻击都是从组织 间的命令控制通道 这个命令控制 是近几年来出现的一种高级攻击 员工入手 因此 攻击者非常注意 通道目前多采用HTTP协议构建 以 具有难检测 持续时间长和攻击目 搜集组织员工的息 包括员工的 便突破组织的防火墙 比较高级的 标明确等特征 传统基于攻击特征 微博 博客等 以便了解他们的社 命令控制通道则采用HTTPS协议构 的入侵检测和防御方法在检测和防 会关系及其爱好 然后通过社会工 建 御APT方面效果很不理想 因此 程方法来攻击该员工电脑 从而进 4 各安全厂商都在研究新的入侵检测 入组织网络 内部横向渗透 一般来说 攻 击者首先突破的员工个人电脑并不 单点攻击突破 即攻击者收集 是攻击者感兴趣的 它感兴趣的是 有幸亲临今年的RSA峰会现场 收 了足够的息后 采用恶意代码攻 组织内部其它包含重要资产的服务 集了各安全厂商所宣传的APT安全 击组织员工的个人电脑 攻击方法 器 因此 攻击者将以员工个人电 解决方案 他们所提出的APT安全 包括 1 社会工程学方法 如通过 脑为跳板 在系统内部进行横向渗 解决方案五花八门 但为了能从众 给员工发送包含恶意代码的文 透 以攻陷更多的PC和服务器 攻 多方案中梳理出一条清晰的主线 件附件 当员工打开附件时 员工 击者采取的横向渗透方法包括口令 我们有必要先回顾一下整个APT攻 电脑就感染了恶意代码 2 远程漏 窃听和漏洞攻击等 击过程 然后再对这些APT安全解 洞攻击方法 比如在员工经常访问 决方案进行分类 最后 我们介绍 的网站上放置网页木马 当员工访 和防御方法来抵抗APT攻击 笔者 2 5 今 年的全球著名息安全峰会 数据收集上传 即攻击者在内 部横向渗透和长期潜伏过程中 有 5

6 A P T 专 题 意识地搜集各服务器上的重要数据 不管攻击者通过何种渠道向员工个 储和深入分析 它可在发现APT攻 资产 进行压缩 加密和打包 然 人电脑发送恶意代码 这个恶意代 击的一点蛛丝马迹后 通过全面分 后通过某个隐蔽的数据通道将数据 码必须在员工个人电脑上执行才能 析这些海量数据来还原整个APT攻 传回给攻击者 控制整个电脑 因此 如果能够加 击场景 大数据分析检测方案因为 强系统内各主机节点的安全措施 涉及海量数据处理 因此需要构建 APT检测和防御方案分类 确保员工个人电脑以及服务器的 大数据存储和分析平台 比较典型 纵观整个APT攻击过程发现 安全 则可以有效防御APT攻击 的大数据分析平台有Hadoop 很 有几个步骤是APT攻击实施的关 很多做终端和服务器安全的厂商就 多做大数据分析和日志分析的厂商 键 包括攻击者通过恶意代码对员 是从这个角度入手来制定APT检测 都是从这个角度入手来制定APT攻 工个人电脑进行单点攻击突破 攻 和防御方案的 典型代表厂商包括 击检测防御方案的 典型的厂商有 击者的内部横向渗透 通过构建的 Bit9和趋势科技 RSA和SOLERA 控制通道获取攻击者指令 以及最 6 3 网络入侵检测类方案 该类 典型APT检测和防御产品 后的敏感数据外传等过程 当前的 方案主要覆盖APT攻击过程中的控 APT攻击检测和防御方案其实都是 制通道构建阶段 通过在网络边界 围绕这些步骤展开 我们把本届 处部署入侵检测系统来检测APT攻 恶意代码检测类代表 RSA大会上收集到的APT检测和防 击的命令和控制通道 安全分析人 FireEye的恶意代码防御系统 御方案进行了整理 根据它们所覆 员发现 虽然APT攻击所使用的恶 盖的APT攻击阶段不同 将它们分 意代码变种多且升级频繁 但恶意 FireEye可以说是本次RSA大 为以下四类 代码所构建的命令控制通道通模 会上最火的公司 它所推出的基于 1 恶意代码检测类方案 该类 式并不经常变化 因此 可以采用 恶意代码防御引擎的APT检测和防 方案主要覆盖APT攻击过程中的单 传统入侵检测方法来检测APT的命 御方案最引入注目 FireEye的APT 点攻击突破阶段 它是检测APT攻 令控制通道 该类方案成功的关键 安全解决方案包括MPS Malware 击过程中的恶意代码传播过程 大 是如何及时获取到各APT攻击手法 protection System 和CMS 多数APT攻击都是通过恶意代码来 的命令控制通道的检测特征 很多 (Central Management System) 攻击员工个人电脑 从而来突破目 做入侵检测网关的厂商就是从这个 两个组件 其中MPS是恶意代码防 标网络和系统防御措施的 因此 角度入手来制定APT攻击防御方案 护引擎 它是一个高性能的智能沙 恶意代码检测对于检测和防御APT 的 典型代表厂商有趋势科技 飞 箱 可直接采集网络流量 抽取所 攻击至关重要 很多做恶意代码检 塔等 携带文件 然后放到沙箱中进行安 大数据分析检测类方案 该 全检测 CMS是集中管理系统模 入手来制定其APT检测和防御方案 类方案并不重点检测APT攻击中的 块 它管理系统中各MPS引擎 的 典型代表厂商包括FireEye和 某个步骤 它覆盖了整个APT攻击 同时实现威胁情报的收集和及时分 GFI Software 过程 该类方案是一种网络取证思 发 FireEye的MPS引擎有以下特 2 主机应用保护类方案 该类 路 它全面采集各网络设备的原始 点 ① 支持对Web 邮件和文件共 方案主要覆盖APT攻击过程中的单 流量以及各终端和服务器上的日 享三种来源的恶意代码检测 ② 对 点攻击突破和数据收集上传阶段 志 然后进行集中的海量数据存 于不同来源的恶意代码 采取专门 测的安全厂商就是从恶意代码检测 4

7 可疑和禁止加载执行的 只有那些 获取文件哈希列表 从而可以识别 高检测性能和准确性 ③ MPS支持 符合安全策略定义的软件才被认为 更多的恶意代码和可疑文件 除可执行文件外的多达20种文件 可和允许执行 Bit9可以基于 类型的恶意代码检测 ④ MPS可支 软件发布商和可软件分发源等 持旁路和串联部署 以实现恶意代 息来定义软件的可策略 同时 入侵检测类代表 码的检测和实时防护 ⑤ MPS可实 bit9还使用安全云中的软件誉服 趋势科技的Deep Discovery 时学习恶意代码的命令和控制道 务来度量软件可度 从而允许用 特征 在串联部署模式可以实时阻 户下载和安装可度较高的自由软 趋势科技的Deep Discovery 断APT攻击的命令控制通道 CMS 件 这种基于安全策略的可软件 专门为APT攻击检测而设计 它采 除了对系统中多个MPS引擎进行集 定义方案其实是实现了一个软件白 用网络入侵检测技术来检测APT攻 中管理外 还可以连接到云中的全 名单 只有那些在软件白名单中的 击的命令控制通道 同时 还可以 球威胁情报网络来获取威胁情报 应用软件才可以在企业计算环境中 通过在入侵检测引擎上部署恶意代 并支持将检测到的新型恶意代码情 执行 其它则是禁止执行的 从而 码检测沙箱来弥补传统特征攻击检 报上传到云中 以实现威胁情报的 保护企业的计算环境安全 Bit9 测的不足 Deep Discovery方案包 广泛共享 此外 FireEye还可以和 解决方案还包括一个可安装在每个 括检测 分析 调整 响应四个步 其它日志分析产品结合起来 形成 终端和服务器上的轻量级实时检测 骤 产品形态上包括Inspector和 功能更强大的息安全解决方案 和审计模块 它是实现实时检测 Advisor两个组件 Inspector是个 FireEye被认为是APT安全解决方案 安全防护和事后取证的关键部件 网络入侵检测引擎 依据获取的威 的佼佼者 其产品被很多500强企 Bit9的实时检测和审计模块将帮 胁情报息来检测APT攻击过程中 业采购 助你获得对整个网络和计算环境的 的命令控制通道 Inspector可以通 全面可视性 通过它你可以实时了 过Advisor及时获取到趋势科技的 主机应用防护类代表 解到各终端和服务器的设备状态和 全球威胁情报息 以便及时检测 Bit9的可安全平台 关键系统资源状态 可以看到各终 到各种新型的APT攻击命令控制通 端上的文件操作和软件加载执行情 道 同时 Inspector还包括一个 Bit9可安全平台(Trust- 况 同时 实时检测和审计模块还 Virtual Analyzer组件 它是一个 based security Platform)使用了软 审计终端上的文件进入渠道 文件 智能沙箱 用来分析捕获的恶意代 件可 实时检测审计和安全云三 执行 内存攻击 进程行为 注册 码 Adivsor为一个管理组件 可 大技术,为企业网络提供网络可视 表 外设挂载情况等等 Bit9解决 以实现对各Inspector引擎的集中管 实时检测 安全保护和事后取证等 方案还包括一个基于云的软件誉 理 同时 它还包括一个可选的恶 四大安全功能 从而可以检测和抵 服务 它通过主动抓取发布于互联 意代码分析引擎 可以接收来自检 御各种高级威胁和恶意代码 Bit9 网上的软件 基于软件发布时间 测引擎的恶意代码 从而实现恶意 解决方案核心是一个基于策略的可 流行程度 软件发布商 软件来源 代码的集中分析 此外 Advisor还 引擎 管理员可以通过安全策略 以及AV扫描结果计算各软件誉 承担了威胁情报的实时收集和分发 来定义哪些软件是可的 Bit9可 度 Bit9解决方案还支持从其它恶 工作 以实现各Inspector引擎间 安全平台默认假设所有软件都是 意代码检测厂商 比如FireEye 处 威胁情报的广泛共享 MPS硬件进行专门处理 目的是提 7

8 A P T 专 题 大数据分析检测类代表 RSA的NetWitness RSA NetWitness是一款革 种内部威胁 检测零日漏洞攻击 有检测和实时防御能力 大数据 命性的网络安全监控平台 它可为 检测各种定向设计的恶意代码和检 分析和入侵检测防御技术相结合 企业提供发生在网络中任何时间的 测各种APT攻击事件和数据泄密事 大数据智能分析平台应该是APT安 网络安全态势 从而协助企业解决 件 3 可对所捕获的网络和日志 全解决方案的核心 实现对APT攻 多种类型的息安全挑战 RSA 数据进行实时上下文智能分析 从 击事件的事后分析和情报获取 同 NetWitness是一组软件集合 针 而为企业提供可行动的安全情报 时 还应该配合主机应用控制 实 对APT攻击的检测和防御则主要由 息 4 可以借助NetWitness监控 时恶意代码检测和网络入侵防御等 Spectrum Panorama和Live三大 平台的可扩展性和强大分析能力来 技术 以实现对APT攻击的时间检 组件实现 其中 RSA NetWitness 实现过程自动化 从而减少安全事 测和防御 各APT安全厂商也已经 Spectrum是一款安全分析软件 件响应时间 并对变化的安全威胁 注意到这个问题 开始通过合作或 专门用来识别和分析基于恶意软件 做出及时调整. 者完善自身技术方法来改进自己的 APT检测和防御方案 以弥补其不 威胁的优先级 RSA NetWitness 主流APT攻击检测和方案后发现 足 比如 Junior和RSA近期宣布 Panorama通过融合成百上千种日 目前各厂家所推出的APT检测防御 在威胁情报共享上达成合作协议 志数据源与外部安全威胁情报 从 方法都具有一定的局限性 主要表 Junior的安全产品可以使用RSA 而可可以实现创新性息安全分 现为 很多APT攻击检测和防御方 NetWitness Live提供的安全威胁情 析 RSA NetWitness Live是一 案都只能覆盖到APT攻击的某个阶 报息 从而提升其安全网关的检 种高级威胁情报服务 通过利用来 段 从而可能导致漏报 很多APT 测能力 Bit9的可安全平台可以 和FireEye产品集成 利用FireEye 自全球息安全界的集体智慧和分 安全解决方案只能检测APT攻击 析技能 可以及时获得各APT攻击 并没有提供必要的APT攻击实时防 高性能智能沙箱和上亿的恶意代码 的威胁情报息 极大缩短了针对 御能力 我们认为 理想的APT安 库识别恶意代码 从而更有效地保 的企业网络安全威胁 并确定安全 纵观RSA2013大会上参展的 潜在安全威胁的响应时间 RSA 全解决方案应该覆盖APT攻击的所 障主机终端的安全 FireEye的恶意 NetWitness具有以下特点 1 可 有攻击阶段 也就是说 我们的 代码防御引擎可以和第三方的安全 对所有网络流量和各网络服务对象 APT安全解决方案应该包括事前 事件分析平台 SIEM 进行集成 的离散事件进行集中分析 实现对 事中和事后三个处置阶段 从而 从而可以实现对APT攻击的事后分 网络的全面可视性 从而获得整个 可能全面的检测和防御APT攻击 析和取证 网络的安全态势 2 可以识别各 理想APT安全解决方案应该同时具 8

9 基于记忆的 APT攻击检测系统 文/周涛 前言 基于记忆的APT检测原理 高级持续性威胁 Advanced 出不穷 而传统的检测往往只注重 在探讨APT攻击检测前 Persistent Threat 是当前息 边界防御 系统边界一旦被绕过 我们先分析下检测的内涵 从本质 安全产业界的热点 在最近两年的 后续的攻击步骤实施的难度将大大 上讲 检测是将求检对象从其所依 RSA大会中 APT都成为了大会上 降低 附的环境中识别出来的过程 为 攻击持续时间长 APT攻击分 了识别求检对象 我们需要从检测 有目标 有组织的攻击方式 APT 为多个步骤 从最初的息搜集 环境中采样能体现求检对象特征的 在流程上同普通攻击行为并无明显 到息窃取并外传往往要经历几个 数据 形成被检测域 需要依赖特 区别 但在具体攻击步骤上 APT 月甚至更长的时间 而传统的检测 定的背景知识 形成判据库 需要 体现出以下特点 使其具备更强的 方式是基于单个时间点的实时检 采取一定的判定算法 形成判定机 破坏性 测 难以对跨度如此长的攻击进行 制 最终在被检测域 判据 判定 有效跟踪 机制的共同作用下 做出是否存在 最受瞩目的关键词一 作为一种 攻击行为特征难以提取 APT 普遍采用0 day漏洞获取权限 通过 正是APT攻击所体现出的上述 未知木马进行远程控制 而传统基 特点 使得传统以实时检测 实时 于特征匹配的检测设备总是要先捕 阻断为主体的防御方式难以有效发 以传统的入侵检测系统 获恶意代码样本 才能提取特征并 挥作用 在同APT的对抗中 我们 IDS 为例 求检对象是网络攻 基于特征进行攻击识别 这就存在 也必须转换思路 采取新的检测方 先天的滞后性 式 以应对新挑战 2 求检对象的论断 整个过程如图1 所示 单点隐蔽能力强 为了躲避 传统检测设备 APT更加注重动态 行为和静态文件的隐蔽性 例如通 过隐蔽通道 加密通道避免网络行 为被检测 或者通过伪造合法签名 检测环境 求检对象 机制 被检测域 的方式避免恶意代码文件本身被识 别 这就给传统基于签名的检测带 来很大困难 3 判据 攻击渠道多样化 目前被曝 论断 1 4 光的知名APT事件中 社交攻击 0day漏洞利用 物理摆渡等方式层 图1 检测逻辑模式 9

10 A P T 专 题 击行为 检测环境就是包含了攻击 测 另一方面要丰富判定机制 在 场景 对各类攻击报警进行关联 行为数据的网络流量数据 为了检 检测已知攻击的同时能够兼顾对未 识别报警间的攻击层语义关系 测攻击 我们需要实时采集网络流 知攻击的检测 为此我们提出了基 根据孤立报警中建立完整攻击场 量 形成IDS的被检测域 需要提 于记忆的新检测模式 共分为四个 景 通常的做法是以关联规则的方 取各类攻击行为的网络特征构造特 步骤 式建立攻击场景知识库 通过对报 征库 作为IDS的判据库 需要采 扩大 即拓宽被检测域 对全流量 警进行匹配和关联 完成攻击场景 用特征匹配算法 作为IDS判定流 数据进行存储分析 这样在检测到 的构建 量中是否包含攻击行为的判断机 可疑行为时 可回溯与攻击行为相 制 有了流量数据 特征库 特征 关的历史流量数据进行关联分析 匹配算法 我们就能检测网络中是 前已发生过 未能引起分析人员 否存在已知攻击行为 注意的报警 有可能隐藏着蓄意攻 传统IDS这种检测模式 在应 击意图 通过这种回溯关联分析就 对常规攻击曾发挥了巨大作用 但 有可能进行有效识别 有了全流量 对于APT却显得无能为力 主要原 的存储 就有可能回溯到任意历史 因在于 时刻 采用新的检测特征和检测技 1 10 术 对已发生的流量进行任意粒度 络流量 只判断实时网络流量中是 的分析 这是本系统最大的特点 否包含攻击行为 而APT整个过程 浓缩 对存储下来的大数据进行降 的时间跨度很长 从单个时间点的 解操作 删除与攻击无关的数据以 角度看APT无法了解全貌 也无法 节省空间 同时保留与攻击相关的 识别攻击者的真实意图 只有将长 数据以备后续分析 浓缩环节需要 时间的可疑行为进行关联分析才能 借助于攻击检测模块 可通过第 实现APT的有效检测 三方检测设备如IDS的报警进行降 传统IDS的判断机制是特征匹 解 也可直接对全流量数据进行异 配 只能检测出提取过攻击签名的 常检测产生可疑报警 基于报警事 已知攻击行为 而APT过程中往往 件进行降解 采用0day 特种木马 隐蔽通道传 精确 对产生的可疑攻击数据做进 输等未知攻击 无法通过误用检测 一步深入分析 产生对攻击行为的 的方式进行准确识别 只有通过异 精确报警 可通过多维数据可视化 常检测的方式才有可能识别出可疑 分析 定位可疑会话 再进一步对 的攻击行为 流量数据进行细粒度协议解析和应 2 传统IDS的被检测域是实时网 鉴于上述不足 要有效对抗 用还原 识别异常行为和伪装成正 APT 我们一方面要扩大被检测 常业务的攻击行为 本环节需要分 域 将基于单个时间点的实时检测 析人员的参与 通过人机结合的方 转变为基于历史时间窗的异步检 式提升分析效率和准确度

11 系统框架 按照数据 息 知识逐层提炼的模式 基于记忆的 APT攻击检测系统结构分为三级 系统整体架构图如下 分析层完成从原始流量数 展示层 图 2 攻击场景关联 多维数据可视化 分析层 存储层 异常流量检测 可疑行为识别 应用对象还原 统计分析 会话还原 应用识别 元数据提取 存储策略管理 基 于 记 忆 的 检 测 系 统 架 构 图 分析层 据中产生独立报警息的 工作 主要方法包括 对于能引起网络流量显著异常 的攻击 如DDoS 扫描 蠕虫传 播等 可通过异常流量检测和统计 分析的方式进行识别 通过建立全 面 完整的安全基准指标体系 可 以快速识别网络流量异常 通过统 计分析 可准确定位异常的位置和 原因 对于不引起流量异常的未知攻 击 可通过可疑行为建模的方式进 行识别 例如对于尚未提取特征的 存储层完成对从互联网直 对于全流量数据 进行窗口长 木马 其连接控制端的时候可能会 接获取的实时数据流的预 度为期级的存储 由于全流量数据 存在未知的加密传输 疑似心跳 处理和存储管理工作 会占用海量存储空间 不宜进行长期 号的间歇性连接 恶意域名访问 对实时数据流首先进行传输层的会 存储 但全流量数据对于后续的回溯 异常的上下行流量比等行为 通过 话还原 消除因网络条件造成的乱 分析又是必须的 为此采用折中的存 对这些可疑行为进行关联 就有可 序 重传 延迟等对后续分析的干 储策略 只存储最近几周 例如1-2 能检测到木马连接行为 扰 然后进行应用协议识别 判断 周 的全流量息 对于超期的数据 数据流上所承载的具体应用 最终 进行降解处理 对于通过异常检测模块产生 的各类报警 由于缺乏攻击签名 从非结构化的数据流中抽取结构化 对于元数据 进行年度级的存 息进行验证 其准确度往往低于基 的元数据息 以便后续的各类统 储 提取后的元数据只包含应用层会 于特征匹配的误用检测 为此还需 计和关联分析 话的关键息 其数据量大约相当于 要结合原始报文 对报警的有效性 预处理后的原始数据流 既包 全流量息的5% 这类息对后续 进一步确认 通过报文所承载的应 括完整的全流量数据 又包括提取 的统计 关联和数据挖掘具有重要的 用层对象做细粒度的协议解析和还 后的元数据 考虑到海量数据的存 作用 且占用的空间在可接受范围 原 可辅助分析人员判定会话内容 储压力 可对不同类型的数据采取 内 因此在平台中进行长期存储 是否包含攻击数据 从而进一步产 灵活的管理策略 生精确报警 存储层 11

12 A P T 专 题 展示层完成从孤立的攻 效检测 但对于APT这样的时间跨 疑报警 对相关主机的数据进行回溯 击报警息生成完整的 度长 攻击目标明确的攻击行为 分析 对相关的历史流量进行协议解 攻击场景的关联工作 在整个攻击过程中总会存在若干个 析 应用识别和还原 能够得到邮件 并提供可视化分析前端工具 帮助 攻击暴露点 以此为基础对相关的 附件 被植入的木马文件 分析人员 分析人员从存储的海量历史数据中 流量进行回溯关联 就有可能获取 再对还原后的内容做进一步的确认 获取知识 对于攻击场景关联 常 攻击者完整的攻击意图 就能够识别攻击者的真实意图和已经 展示层 发生的攻击行为 并评估自身的息 见的方法是基于关联规则匹配攻 以某个攻击过程为例 攻击 击场景 由于APT攻击手段的复杂 者试图获取某息系统中的重要数 性 在实际环境中往往会因为报警 据 为此 攻击者先搜集到了该 事件的缺失导致无法进行完整攻击 息系统部分用户的邮箱地址 然后 总结 路径图的匹配 进而导致建立APT 给这些用户发送了邮件 其附件中 APT的出现 既给传统检测技 场景失败 为此要解决基于不完整 包含了某个利用了0day漏洞的文 术带来了挑战 也为新兴技术的应 攻击路径的攻击场景匹配问题 对 件 导致用户打开附件时执行了恶 用带来了机遇 硬件技术的发展 于多维数据可视化分析 要提供给 意命令并被植入了未知木马 攻击 使得处理器运算能力不断增强 单 分析人员一套能从地址 端口 协 者通过加密的命令控制通道 对用 位容量存储成本不断降低 这为我 议类型等维度对数据进行统计展示 户主机实施远程控制 获取了息 们基于大数据进行APT检测提供了 的工具 并支持按照不同的粒度对 系统中的重要数据 在这个攻击过 必要条件 数据进行钻取 方便分析人员在大 程中 由于攻击者所利用的漏洞 对于APT攻击 我们的对抗策 数据中定位可疑行为 植入的木马都缺乏特征 采用的远 略是以时间对抗时间 改变传统基 程控制通道又是进行了加密 现有 于单时间点进行特征匹配的局面 基于攻击签名的检测方式很难进行 对长时间窗的数据进行关联分析 有效检测 并辅以异常检测算法 以解决现有 典型应用场景 资产损失状况 常包括息搜集 获取入口点 实 有了本文所述的基于记忆的 检测手段的不足 通过扩大检测 施远程控制 攻击目标横向转移 APT攻击检测系统 对整个攻击过程 域 丰富检测机制 形成了新一代 重要资产数据发现 数据泄露等环 的数据进行存储 辅以异常检测方 基于记忆的智能检测系统 随着大 节 对于攻击防御方而言 由于特 法 就有可能实现检测 例如 通过 数据技术的发展 各类检测算法的 征的时效性和检测手段的局限性 可疑行为识别 系统能检测到用户 丰富 基于记忆的智能检测系统将 未必能够在攻击的起始阶段实现有 主机上的可疑加密传输行为 基于可 在应对APT攻击中发挥更大作用 12 一次典型的APT攻击过程 通

13 浅谈APT攻击的检测与防御 文/陈彦伟 什么是APT攻击 光行动 2009年 Stuxnet 病毒攻击事件 2010年 到 McAfee公司公布的针对西方能 源公司的夜龙行动 2011 RSA SecureID遭窃取事件 2011年 以及近期的针对 韩国金融和政府机构的遭受的网 络攻击 2013年 相大家 对 APT攻击 这个概念并不陌 生 那么什么是APT攻击 我们 该如何进行正确的认识 有效的 防御呢 本文将从如下几个方面 进行介绍 APT即 Adavanced 的进行渗透 搜集 窃取有价值 Persistent Threat 是指针对明 的数据资料 攻击的过程往往具 确目标的持续的 复杂的网络攻 有极强的隐蔽性 使传统的入侵 击 这个概念最早是在2006年左右 检测系统 安全审计系统等安全 由美国波音公司 United States 产品不易察觉到 Air Force 提出的 在2010年 Threat: 威胁是指能够利用漏洞 Google公司承认遭受严重黑客攻击 或脆弱性对息资产造成破坏 损 后 APT攻击成为息安全行业热 失的事物或行为 APT攻击无疑对国 议的话题一 家 企业的息系统构成严重威胁 那么究竟什么是APT攻击 APT攻击又有哪些特点呢 下面让我 们从它的名字入手 一起来看看 APT攻击的主要特点 APT就像网络世界神秘莫测的 Adavanced 这里是指黑客攻 刺客 以其自身的特点威慑着目标 击的手段 技术复杂多样 既会利 系统的安全 用已知的漏洞 工具 也可能会利 针对性 与传统的网络攻击相 用一些未知的漏洞 工具 例如 比 APT攻击针对性很强 传统的 0DAY漏洞 特种木马等 同时还 网络攻击一般会选择相对容易的攻 会结合社会工程学的相关知识 技 击目标 而APT攻击在选定攻击目 能 此外 高级 还指攻击行为的 标后 一般不会改变 整个攻击过 目标明确 策划精密 有别于撒网 程都经过攻击者的精心策划 攻击 式的传统网络攻击 一旦发起 攻击者会针对目标网络 Persistent APT攻击往往 尝试不同的攻击技术 攻击手段 持续时间较长 1个月 1年 3 不达目的绝不罢休 年 甚至更长时间都有可能 攻 隐蔽性 APT攻击具有极强的隐 从针对Google等公司的极 击者在此期间会对目标系统不断 13

14 A P T 专 题 蔽性 攻击者往往会利用丰富的经 验 先进的技术 超凡的耐性来掩 内部威胁 盖自己的行踪 躲避常规安全产品 的检测 并且整个攻击过程时间跨 组合攻击 欺骗钓鱼 度较大 给APT攻击的防御带来极 大的挑战 复杂性 在APT攻击过程中 攻击者往往会利用多种攻击技术 攻击手段 不仅会利用已知安全 APT 木马后门 漏洞 木马后门 还可能会利用 跨站脚本 0DAY漏洞 特种木马 通常会结 合社会工程学的相关知识 并且攻 击路径复杂 如下为APT攻击可能 利用的攻击手段 SQL注入 僵尸网络 0DAY漏洞 APT攻击的一般过程 尽管每起APT攻击事件都有不同的企图 不同的攻击目标 但是准备和实施APT攻击有 一个通用的过程 一般可以划分为4个阶段 即搜索阶段 进入阶段 渗透阶段 收获阶段 收获阶段 APT攻击过程 搜索阶段 对攻陷的服务器进行远程 控制 设法躲避安全检测 预警设备的检测 将敏感 数据传送至黑客指定的服 务器进行存储 渗透阶段 14 搜索收集关于目标单位的 公司息 人员组织结构 特定人员个人息 与目 标单位有业务来往的单位 息 息系统应用软件 息 安全策略等等 进入阶段 通过购买 肉鸡 或结合 社会工程学进行欺骗 攻 击等多种方式获取目标单 位的第一个落脚点 后续 黑客将以此为跳板对目标 单位内网进行渗透 攻击 对目标单位内网实施进 一步的渗透 攻击 利 用口令猜测 漏洞溢出 特种木马等手段获取内 网大量服务器的访问控 制权限 搜集对攻击者 而言有价值的敏感数据

15 搜索阶段 APT攻击与普通网络 渗透阶段 攻击者利用已经控制的 攻击相比 在息搜索的深度和 计算机作为跳板 通过远程控制 们在每个阶段可以做些什么呢? 广度上有明显不同 APT攻击的 对企业内网进行渗透 寻找有价值 搜集阶段 攻击者在此阶段主要任 攻击者会花费大量的时间和精力 的数据 与进入阶段类似 本阶段 务是收集息 制定计划 在此阶 用于搜索目标系统的相关息 一样会考验攻击者的耐心 技术 段我们可以依托安全威胁检测 预 他们会了解企业的背景 公司文 手段 警系统 识别攻击者对企业网络的 化 人员组织 还会收集目标系 收获阶段 本阶段攻击者取得初步 嗅探 扫描行为 做到提前防范 统的网络结构 业务系统 应用 成就 他们会构建一条隐蔽的数据 加强对息系统的安全管理 例如 程序版本等息 随后攻击者会 传输通道 将已经获取的机密数据 定期进行安全检查 加固 尽量少 制定周密的计划 识别有助于攻 传送出来 其实本阶段的名字叫 的暴露系统息 提高初始攻击的 击目标达成的系统 人员息 收获阶段 但却没有时间的限 难度 定期对员工进行安全意识培 收集 开发或购买攻击工具 APT 制 因为APT攻击的发起者与普通 训 提高员工的安全防范意识 攻击可能会利用特种木马 0DAY 攻击者相比是极端贪婪的 只要不 进入阶段 攻击者在此阶段会想办 漏洞利用工具 口令猜测工具 被发现 攻击行为往往不会停止 法获取企业内部的计算机作为实施 以及其它渗透测试工具 持续的尝试窃取新的敏感数据与机 入侵行为的第一个落脚点 在本阶 进入阶段 攻击者会进行间断性的 密息 段我们可以依托安全威胁检测 预 攻击尝试 直到找到突破口 控制 方法如下 警系统识别正在进行的攻击行为 如何防御APT攻击 合理配置入侵防御系统 防火墙等 如果APT攻击是一把利剑 那 产品的安全策略 阻断常规的攻击 恶意文件 精心构造 并以邮 我们只有铸造一只坚实的盾牌 才 尝试行为 提高警惕 避免攻击者 件 IM软件等形式向内部员工发 能抵御它的寒光与威慑 结果社会工程学进行诱骗 一旦发 送的携带恶意代码的PDF Word 正所谓 知己知彼 百战百 现攻击事件 启动事件处置及应急 文档 胜 在我们对APT攻击有一定了 响应流程 恶意链接 以邮件 IM软件等形 解后 也要自省其身 了解企业的 渗透阶段 渗透阶段与进入阶段类 式向内部员工发送携带恶意代码的 安全现状 才能做好防护 例如 似 攻击者都会尝试不同的攻击技 URL链接 诱使员工点击 企业与哪些机构通讯交互 术 攻击手段对目标系统进行入 网站漏洞 利用网站系统的漏 企业的组织结构 侵 可以考虑通过合理规划安全 洞 例如SQL注入 文件上传 现有的安全策略有哪些 域 加强系统账户的安全审计 系 远程溢出等等 控制网站服务 哪些数据是机密数据 需要加 统账号及权限管理 系统安全策略 器作为跳板 对企业内部进行渗 强保护? 优化等手段提高攻击者继续渗透的 透 攻击 是否有检测APT攻击的技术手段 难度 此外 威胁监测和安全意识 购买 肉鸡 这是一种最便捷 是否有完善处理息安全入侵 同样是强化的重点 的攻击方式 即从地下黑市直接购 事件的应急响应流程? 收获阶段 在本阶段攻击者会设法 买企业内部已经被其它黑客攻陷的 员工的安全意识是否需要强化 将获取的机密数据息传送至企业 计算机 外部网络 因此对于敏感流量 非 企业内网的第一台计算机 常见的 回顾APT攻击的四个阶段 我 15

16 A P T 专 题 法连接的检测变得尤为重要 历过众多国家重点科研项目 息 M2S 2.0持续威胁监测服务有 APT攻击无法通过单一的安全 安全保障项目的洗礼 依托专业的 安全产品和安全服务有机结合 即以 产品和安全技术进行有效的检测 安全产品 安全服务 以及最佳实 专业的安全服务为粘合剂 将传统的 防护 企业只有建立以安全技术与 践 启明辰推出M2S 2.0持续威 入侵检测 蜜罐系统 异常流量检测 安全管理相结合的纵深防护t体系 胁监测服务 协助企业铸造APT攻击 等与敏感流量检测 恶意代码检测 才能抵御APT攻击的威胁 此外 防御的壁垒 以及其它新兴的安全产品和检测技术 APT攻击与防御的一般过程中 威 M2S 2.0持续威胁监测服务的 进行整合 实现对APT攻击的监测 胁检测贯穿始终 因为只有及时发 目标是通过专业的安全产品监测客 识别 告警 如下为部分监测及服务 现APT攻击 我们才能在第一时间 户息系统中的异常网络行为和恶 目标 阻止网络攻击事态的继续恶化 进 意攻击行为 例如0Day漏洞利用 目前 M2S 2.0持续威胁检测 而有的放矢的完善企业的安全防护 特种木马事件 间谍软件事件 服务已经陆续在公司部分重点客户进 体系 组合攻击事件等 依托启明辰 行试点部署和实施 并且已经取得了 ADLab专业的安全服务能力对安全 不错效果 在不到半年的时间里 已 产品的告警息 日志数据进行深 经检测到3起恶意网络入侵行为 ADLab APT检测防御 启明辰是诚的安全产品 入挖掘 分析 将异常网络行为和 在APT攻击检测防御的路上 安全服务 安全解决方案供应商 在 恶意攻击事件以分析报告的形式清 我们已经起步 并且我们会追求卓 安全服务方面具有多年的技术沉淀和 晰的展现出来 使客户能够对安全 越 做到更好 积累 ADLab安全服务团队更是经 事件进行及时处置 ODay漏洞威胁监测 特种木马威胁监测 16 M2S 2.0 组合攻击威胁监测 敏感流量威胁监测 内部攻击诱捕服务

17 新型威胁分析与防范研究 摘要 本文通过对以APT 什么是新型威胁 网络安全 尤其是Internet 性地进行的一系列攻击行为的整个 互联网安全正在面临前所未有的挑 过程 APT攻击利用了多种攻击手 战 这主要就是来自于有组织 有 段 包括各种最先进的手段和社会 特定目标 持续时间极长的新型攻 工程学方法 一步一步的获取进入 击和威胁 国际上有的称为APT 组织内部的权限 APT往往利用组 Advanced Persistent Threat 织内部的人员作为攻击跳板 有时 高级持续性威胁 攻击 或者称 候 攻击者会针对被攻击对象编写 为 针对特定目标的攻击 这些 专门的攻击程序 而非使用一些通 攻击统称为新型威胁 用的攻击代码 为代表的新型威胁的实例研究 2011年美国NIST发布了 此外 APT攻击具有持续性 分析了新型威胁的攻击过程 技 SP800-39管理息安全风 甚至长达数年 这种持续体现在攻 术特点 当前国内外的发展现 险 其中 对APT进行了定义 击者不断尝试各种攻击手段 以及 状 给出了新型威胁的基本定义 拥有高级专家和丰富资源的敌对方 在渗透到网络内部后长期蛰伏 不 和描述 以及应对新型威胁的总 使用多种攻击技术 包括网络的 断收集各种息 直到收集到重要 体思路和具体具体手段 最后 物理的 欺骗性的 为达成其一系 情报 本文还简要叙述了新型威胁自身 列目标而实施的一类威胁 通过在 更加危险的是 这些新型的 的技术发展动向 目标组织的IT基础设施中建立并扩 攻击和威胁主要就针对国家重要的 展落脚点 这些目标通常包括窃取 基础设施和单位进行 包括能源 息 破坏或抵制某项使命或任 电力 金融 国防等关系到国计民 务 或者潜伏起来以便在未来的某 生 或者是国家核心利益的网络基 个时候达成这些目标 APT为了达 础设施 成其目标会持续较长的一段时间 对于这些单位而言 尽管已经 会想方设法隐匿自己 会与外界保 部署了相对完备的纵深安全防御体 持一定程度的交互以执行其任务 系 可能既包括针对某个安全威胁 一般认为 APT攻击就是一 的安全设备 也包括了将各种单一 类特定的攻击 为了获取某个组织 安全设备整合起来的管理平台 而 甚至是国家的重要息 有针对 防御体系也可能已经涵盖了事前 文/叶蓬 17

18 A P T 专 题 事中和事后等各个阶段 但是 这 18 国内 样的防御体系仍然难以有效防止来 此外 国际上 尤其是美国着 根据CN-CERT发布的 2012 自互联网的入侵和攻击 以及息 重炒作来自中国的APT攻击 最典 年我国互联网网络安全态势综述 窃取等新型威胁 型的是Mandiant公司发布的 对 我国面临的新型威胁攻击的形势同样 APT1组织的攻击行动的情报分析 比较严峻 利用 火焰 病毒 高 新型威胁的国内外发展态势 报告 将APT1攻击行动的发起 斯 病毒 红色十月 病毒等实施 国际 者直接定位到中国军方 在美国旧 的高级可持续攻击 APT攻击 活动 2013年4月份Verizon发布的 金山举办的RSA2013大会上 直 频现 对国家和企业的数据安全造成 2013年数据破坏调查报告 分 接以中国APT攻击为主题的报告就 严重威胁 2012年 我国境内至少 析了全球47000多起数据破坏安 有6个多 有4.1万余台主机感染了具有APT特 全事故 621宗确认的数据泄漏案 以防范APT攻击为契机 各 例 以及至少4400万份失窃的记 国纷纷加强国家级的网络空间安全 录 报告 指出有高达92%的数 研究 相关政策制定与发布 美 据破坏行为来自外部 有19%的数 国 加拿大 日本 欧盟各国 北 据破坏行为来自国家级别的行为 约等国家和组织纷纷强化其网络空 利用脆弱的或者窃取到的用户身份 间安全的国家战略 其中就包括应 访问凭据进行入侵的行为占到了 对APT在内的国家级的敌对方的攻 76% 而各种黑客行为和恶意代码 击 ENISA 欧洲网络与息安全 依然是主要的息破坏手段 报告 局 北约CCDCOE 协作网络空 2010年的Google Aurora 将包括APT攻击在内的息破坏的 间防御卓越中心 兰德公司 欧 极光 攻击是一个十分著名的 敌对方分为了有组织犯罪集团 国 洲智库SDA公司都对世界主要国家 APT攻击 Google的一名雇员点击 家或国家资助的组织 黑客活跃分 的网络空间安全战略思想 安全威 即时消息中的一条恶意链接 引发 子三类 胁特征 安全防御水平等进行了较 了一系列事件导致这个搜索引擎巨 为深入的对比分析与研究 人的网络被渗入数月 并且造成各 FireEye发布的 2012年下半 击邮件都使用zip格式的附件 征的木马程序 新型威胁的实例说明 下面列举几个典型的APT攻击 实例 以便展开进一步分析 Google极光攻击 年高级威胁分析报告 详细分析了 各国对新型威胁的重视 种系统的数据被窃取 这次攻击以 APT攻击的发展态势 报告 指 也带动了整个网络空间安全市 Google和其它大约20家公司为目 出 平均一个组织和单位每三分钟 场的崛起 2012年6月份 标 它是由一个有组织的网络犯罪 就会遭受一次恶意代码攻击 尤指 MarketandMarket公司发布了一 团体精心策划的 目的是长时间地 带有恶意附件 恶意WEB链接 份市场分析报告 称到2017年 全 渗入这些企业的网络并窃取数据 或者C&C通讯的邮件 在所有遭 球的网络空间安全市场将达到1200 该攻击过程大致如下 受攻击的企业和组织中 拥有核心 亿美元的规模 而在2011年市场价 对Google的APT行动开始于刺 关键技术的技术类企业占比最高 值已经有637亿美元 报告明确指 探工作 特定的Google员工成为攻 在定向钓鱼邮件 spear phishing 出 网络空间安全未来将来首要应 击者的目标 攻击者尽可能地收集 中经常使用通用的商业术 对的问题就是APT 此外还包括僵 息 搜集该员工在Facebook 语 具有很大的欺骗性 92%的攻 尸网络 传统蠕虫和病毒等 Twitter LinkedIn和其它社交网

19 站 上 发 布 的 息 接 着 攻 击 者 利 用 一 个 动 态 DNS 供 应 商 来 建 立 一 个 托 管 伪 造 照 片 网 站 的 Web 服 务 器 该 Google 员 工 收 到 来 自 任 的 人 发 来 的 网 络 链 接 并 且 点 击 它, 就 进 入 了 恶 意 网 站 该 恶 意 网 站 页 面 载 入 含 有 shellcode 的 JavaScript 程 序 码 造 成 IE 浏 览 器 溢 出, 进 而 执 行 FTP 下 载 程 序, 并 从 远 端 进 一 步 抓 了 更 多 新 的 程 序 来 执 行 ( 由 于 其 中 部 分 程 序 的 编 译 环 境 路 径 名 称 带 有 Aurora 字 样, 该 攻 击 故 此 得 名 ) 接 下 来, 攻 击 者 通 过 SSL 安 全 隧 道 与 受 害 人 机 器 建 立 了 连 接, 持 续 监 听 并 最 终 获 得 了 该 雇 员 访 问 Google 服 务 器 的 帐 号 密 码 等 息 最 后, 攻 击 者 就 使 用 该 雇 员 的 凭 证 成 功 渗 透 进 入 Google 的 邮 件 服 务 器, 进 而 不 断 的 获 取 特 定 Gmail 账 户 的 邮 件 内 容 息 针 对 核 电 站 相 关 工 作 人 员 的 家 用 电 脑 个 人 电 脑 等 能 够 接 触 到 互 联 网 的 计 算 机 发 起 感 染 攻 击, 以 此 为 第 一 道 攻 击 跳 板, 进 一 步 感 染 相 关 人 员 的 移 动 设 备, 病 毒 以 移 动 设 备 为 桥 梁 进 入 堡 垒 内 部, 随 即 潜 伏 下 来 病 毒 很 有 耐 心 的 逐 步 扩 散, 一 点 一 点 的 进 行 破 坏 这 是 一 次 十 分 成 功 的 APT 攻 击, 而 其 最 为 恐 怖 的 地 方 就 在 于 极 为 巧 妙 的 控 制 了 攻 击 范 围, 攻 击 十 分 精 准 在 2011 年, 一 种 基 于 Stuxnet 代 码 的 新 型 的 蠕 虫 Duqu 又 出 现 在 欧 洲, 号 称 震 网 二 代 Duqu 主 要 收 集 工 业 控 制 系 统 的 情 报 数 据 和 资 产 息, 为 攻 击 者 提 供 下 一 步 攻 击 的 必 要 息 攻 击 者 通 过 僵 尸 网 络 对 其 内 置 的 RAT 进 行 远 程 控 制, 并 且 采 用 私 有 协 议 与 CC 端 进 行 通 讯, 传 出 的 数 据 被 包 装 成 jpg 文 件 和 加 密 文 件 始 的 网 路 通 讯 方 式, 直 接 寄 送 电 子 邮 件 给 特 定 人 士, 并 附 带 防 毒 软 体 无 法 识 别 的 恶 意 文 件 附 件 其 攻 击 工 程 大 体 如 下 : RSA 有 两 组 同 仁 们 在 两 天 中 分 别 收 到 标 题 为 2011 Recruitment Plan 的 恶 意 邮 件, 附 件 是 名 为 2011 Recruitment plan.xls 的 电 子 表 格 ; 很 不 幸, 其 中 一 位 同 仁 对 此 邮 件 感 到 兴 趣, 并 将 其 从 垃 圾 邮 件 中 取 出 来 阅 读, 殊 不 知 此 电 子 表 格 其 实 含 有 当 时 最 新 的 Adobe Flash 的 0day 漏 洞 (CVE ); 该 主 机 被 植 入 臭 名 昭 著 的 Poison Ivy 远 端 控 制 工 具, 并 开 始 自 C&C 中 继 站 下 载 指 令 进 行 任 务 ; 首 批 受 害 的 使 用 者 并 非 位 高 权 重 人 物, 紧 接 着 相 关 联 的 人 士 包 括 IT 与 非 IT 等 服 务 器 管 理 员 相 继 被 黑 ; RSA 发 现 开 发 用 服 务 器 (Staging server) 遭 入 侵, 攻 击 方 随 即 进 行 撤 离, 加 密 并 压 缩 所 有 资 料 ( 都 是 rar 格 式 ), 并 以 FTP 传 送 至 远 端 主 机, 又 迅 速 再 次 搬 离 该 主 机, 清 除 任 何 踪 迹 超 级 工 厂 病 毒 攻 击 ( 震 网 攻 击 ) 著 名 的 超 级 工 厂 病 毒 攻 击 为 人 所 知 主 要 源 于 2010 年 伊 朗 布 什 尔 核 电 站 遭 到 Stuxnet 蠕 虫 的 攻 击 的 事 件 曝 光 遭 遇 超 级 工 厂 病 毒 攻 击 的 核 电 站 计 算 机 系 统 实 际 上 是 与 外 界 物 理 隔 离 的, 理 论 上 不 会 遭 遇 外 界 攻 击 坚 固 的 堡 垒 只 有 从 内 部 才 能 被 攻 破, 超 级 工 厂 病 毒 也 正 充 分 的 利 用 了 这 一 点 超 级 工 厂 病 毒 的 攻 击 者 并 没 有 广 泛 的 去 传 播 病 毒, 而 是 RSA SecurID 窃 取 攻 击 2011 年 3 月,EMC 公 司 下 属 的 RSA 公 司 遭 受 入 侵, 部 分 SecurID 技 术 及 客 户 资 料 被 窃 取 其 后 果 导 致 很 多 使 用 SecurID 作 为 认 证 凭 据 建 立 VPN 网 络 的 公 司 包 括 洛 克 希 德 马 丁 公 司 诺 斯 罗 普 公 司 等 美 国 国 防 外 包 商 受 到 攻 击, 重 要 资 料 被 窃 取 在 RSA SecurID 攻 击 事 件 中, 攻 击 方 没 有 使 用 大 规 模 SQL 注 入, 也 没 有 使 用 网 站 挂 马 或 钓 鱼 网 站, 而 是 以 最 原 Lurid 攻 击 2011 年 9 月 22 日,TrendMicro 的 研 究 人 员 公 布 了 一 起 针 对 前 独 联 体 国 家 印 度 越 南 和 中 国 等 国 家 的 政 府 部 门 外 交 部 门 航 天 部 门, 还 有 科 研 机 构 APT 攻 击 Lurid 攻 击 19

20 A P T 专 题 人的电脑上的息上传 主要是帐号 的 很多企业和组织的网站在防范 和 CVE 这 相关的文件息 SQL注入攻击方面缺乏防范 两个已知的Adobe Reader漏洞 以 攻击者在获取了加密的帐号息 及被压缩成RAR文件的带有恶意代 后通过解密工具找到帐号的密码 然 0day漏洞的恶意代码 而企业和组 码的屏幕保护程序 后借助事先植入的木马在受害企业的 织目前的安全防御/检测设备无法识 网络寻找目标 伺机行动 不断收集 别这些0day漏洞攻击 攻击者的主要是利用了CVE- 用户一旦阅读了恶意PDF文件 4 初始的网络渗透往往使用利用 在攻击者控制受害机器的过程 或者打开了恶意屏幕保护程序 就会 企业的敏感息 被植入木马 木马程序会变换多种花 所有的敏感息会加密存储在网 中 往往使用SSL链接 导致现有 样驻留在受害人电脑中 并与C&C 络中的一台临时服务器上 并最终上 的大部分内容检测系统无法分析传 服务器进行通讯 收集的息通常通 传到公司外部的某个服务器上 从而 输的内容 同时也缺乏对于可以连 过HTTP POST上传给C&C服务器 完成攻击 接的分析能力 攻击者借助C&C服务器对木马下达 6 Nitro攻击 2011年10月底 Symantec发 攻击者在持续不断获取受害 企业和组织网络中的重要数据的时 各种指令 不断收集受害企业的敏感 息 5 新型威胁的综合分析 候 一定会向外部传输数据 这些 综合分析以上典型的APT攻击 数据往往都是压缩 加密的 没有 可以发现 当前的新型攻击主要呈现 明显的指纹特征 这导致现有绝大 以下技术特点 部分基于特征库匹配的检测系统都 1 攻击者的诱骗手段往往采用恶 失效了 布的一份报告公开了主要针对全球 意网站 用钓鱼的方式诱使目标上 化工企业的进行息窃取的Nitro攻 钩 而企业和组织目前的安全防御 统 日志分析系统 甚至是安管平 击 该攻击的过程也十分典型 体系中对于恶意网站的识别能力还 台 但是这些更高级的系统主要是 受害企业的部分雇员收到带有欺 不够 缺乏权威 全面的恶意网址 从内控与合规的角度来分析事件 骗性的邮件 库 对于内部员工访问恶意网站的 而没有真正形成对外部入侵的综合 当受害人阅读邮件的时候 往往 行为无法及时发现 分析 由于知识库的缺乏 客户无 还有的企业部署了内网审计系 攻击者也经常采用恶意邮件的 法从多个角度综合分析安全事件 一个类似文本文件的附件 而实际上 方式攻击受害者 并且这些邮件都 无法从攻击行为的角度进行整合 是一个可执行程序 或者看到一个有 被包装成合法的发件人 而企业和 发现攻击路径 密码保护的压缩文件附件 密码在邮 组织现有的邮件过滤系统大部分就 因此 在APT这样的新型威胁 件中注明 并且如果解压会产生一个 是基于垃圾邮件地址库的 显然 面前 大部分企业和组织的安全防 会看到一个通过文件名和图标伪装成 7 可执行程序 这些合法邮件不在其列 再者 邮 御体系都失灵了 保障网络安全亟 只要受害人执行了附件中的可执 件附件中隐含的恶意代码往往都是 需全新的思路和技术 行程序 就会被植入Poison Ivy后门 0day漏洞 传统的邮件内容分析也 程序 难以奏效 Poison Ivy会通过TCP 80端口与 20 C&C服务器进行加密通讯 将受害 2 3 还有一些攻击是直接通过对 目标公网网站的SQL注入方式实现

21 新型威胁的应对策 总体思路 2012年8月 RSA发布了著名 的报告 当APT成为主流 络转变为分隔式网络 使攻击者难 效 沙箱技术通俗的讲就是构造一 以在网络中四处游荡 从而难以发 个模拟的执行环境 让可疑文件在 现最宝贵的息 这个模拟环境中运行起来 通过可 参与情报交换 分享息安全 疑文件触发的外在行为来判定是否 威胁情报 利用其他企业积累的知 是恶意代码 识 沙箱技术的模拟环境可以是真 报告提及了现在组织和企业中现有 Verizon发布的 2013年数据 实的模拟环境 也可以是一个虚拟 的安全防护体系存在一些缺陷 破坏调查报告 中则更加简明扼要 的模拟环境 而虚拟的模拟环境可 导致很难识别APT攻击 现有的防 的概括了应对APT的最高原则 以通过虚拟机技术来构建 或者通 护体系包括FW AV IDS/IPS 知己 更要知彼 强调真正的主动 过一个特制程序来虚拟 SIEM/SOC 以及CERT和组织结 安全是料敌先机 核心就是对安全 构 工作流程等等 都存在不足 威胁情报的分析与分享 基于异常的流量检测技术 报告指出 应对APT需要采取一种 技术手段分析 传统的IDS都是基于特征 签 法 该方法更加注重对核心资产的 从具体的技术层面来说 为了 名 的技术去进行DPI分析 有的 保护 以数据为中心 从检测威胁 应对APT攻击 新的技术也是层出 也用到了一些简单DFI分析技术 的角度去分析日志 注重攻击模式 不穷 面对新型威胁 DFI技术的应用需 的发现和描述 从情报分析的高度 来分析威胁 报告提出了7条建议 进行高级情报收集与分析 让 从监测和检测的角度 为了识 要进一步深化 基于Flow 出现了 别APT 可以从APT攻击的各个环 一种基于异常的流量检测技术 通 节进行突破 任一环节能够识别即 过建立流量行为轮廓和学习模型来 可断开整个链条 识别流量异常 进而识别0day攻 根据APT攻击过程 我们可以 击 C&C通讯 以及息渗出 本 建立智能监测机制 知道要寻 从防范钓鱼攻击 识别邮件中的恶 质上 这是一种基于统计学和机器 找什么 并建立息安全与网络监 意代码 识别主机上的恶意代码 学习的技术 控机制 以寻找所要寻找物 识别僵尸网络 C&C 通讯 监测 重新分配访问控制权 控制特 网络数据渗出等多个环节入手 权用户的访问 而不论从哪个环节入手 都主 认真开展有实效的用户培训 要涉及以下几类新型技术手段 情报成为战略的基石 培训用户以识别社会工程攻击 并 迫使用户承担保证企业息安全的 基于沙箱的恶意代码检测技术 个人责任 全包捕获与分析技术 应对APT攻击 需要最好最 坏的打算 万一没有识别出攻击并 遭受了损失了怎么办 对于某些情 况 我们需要全包捕获及分析技术 管理高管预期 确保最高管理 要检测恶意代码 最具挑战性 FPI 借助天量的存储空间和 层认识到 抗击高级持续性攻击的 的就是利用0day漏洞的恶意代码 大数据分析 BDA 方法 FPI能 本质是与数字军备竞赛战斗 因为是0day 就意味着没有特征 够抓取网络中的特定场合下的全量 重新设计IT架构 从扁平式网 传统的恶意代码检测技术就此失 数据报文并存储起来 进行历史分 与以往不同的息安全策略及其方 21

22 A P T 专 题 析或者准实时分析 通过内建的高 析服务做支撑 通过专家团队和他 统的检测和阻止的手段 校索引机制及相关算法 协助分析 们的最佳实践 不断充实安全知识 高级隐遁技术是一系列规避安 师剖丝抽茧 定位问题 库 进行即时的可疑代码分析 渗 全检测的技术的统称 可以分为网 透测试 漏洞验证 等等 安全专 络隐遁和主机隐遁 而网络隐遁又 家的技能永远是任何技术都无法完 包括协议组合 字符变换 通讯加 全替代的 密 0day漏洞利用等技术 誉技术 誉技术早已存在 在面对新 型威胁的时候 可以助其他检测技 新型威胁的最新技术发展动向 术一臂力 无论是WEB URL 新型威胁自身也在不断发展进 誉库 文件MD5码库 僵尸网络地 化 以适应新的安全监测 检测与 新型的恶意代码设计越来越精 址库 还是威胁情报库 都是检测 防御技术带来的挑战 以下简要分 巧 想方设法逃避沙箱技术的检测 新型威胁的有力武器 而誉技术 析新型威胁采取的一些新技术 例如有的恶意代码只有在用户鼠标移 动的时候才会被执行 从而使得很多 的关键在于誉库的构建 这需要 一个强有力的技术团队来维护 沙箱逃避 精准钓鱼 自动化执行的沙箱没法检测到可疑行 为 还有的沙箱用到了虚拟机方式来 综合分析技术 精准钓鱼是一种精确制导的 执行 那么恶意代码的制作者就会想 钓鱼式攻击 比普通的定向钓鱼 办法去欺骗虚拟机 所谓综合分析 就是在前述所 spear phishing 更聚焦 只 有技术上的 并且涵盖传统检测技 有在被攻击者名单中的人才会看到 术上的 一个横向贯穿的分析 我 这个钓鱼网页 其他人看到的则是 们已经知道APT攻击是一个过程 是 404 error 也就是说 如果你不在 一个组合 如果能够将APT攻击最多 名单列 看不到钓鱼网页 如此 环节的息综合到一起 有助于确认 一来 一方面攻击的精准度更高 一个APT攻击行为 另一方面也更加保密 安全专家更 综合分析技术要能够从零散的 难进行追踪 攻击事件背后透视出真正的持续攻击 22 行为 包括组合攻击检测技术 大时 高级隐遁技术 间跨度的攻击行为分析技术 态势分 析技术 情境分析技术 等等 高级隐遁技术这个术语最初 源自2010年芬兰的Stonesoft公 人的技能 司 2013年5月被McAfee收购 的一个研究成果 高级隐遁技 最后 要实现对新型攻击的防 术 AET Advanced Evasion 范 除了上述新的监测/检测技术 Technology 是一种通过伪装和/ 外 还需要依靠强有力的专业分 或修饰网络攻击以躲避息安全系

23 安 全

24 非 常 安 全 息安全2012年年度热点回顾及2013年年度热点展望 中国息安全 杂志社在2013年初展开了一个中国息安全年度 热点的专家调研 经过热点征集 反馈整理 投票汇总 现发布 2012 年度热点回顾 事件人物类 2013年度热点展望 事件人物类预 测 2012年度热点回顾 安全视角类 2013年度热点展望 安全视角类预测 每条热点都是一个话题热点 只表示这个话题热度极高 而不表示各 个专家在这个话题下具有完全相同的观点 每个热点话题下的简述 基本 都摘录于被调研核心专家的描述 调研工作组只是尽力原汁原味地展现百 余位核心专家的群体观点和智慧 2012年度热点回顾 事件人物类 23号文 美调查华为中兴 5月9日国务院常务会议发布23号文 关于 10月8日 美国众议院情报委员会发布报 大力推进息化发展和切实保障息安全的若 告称 经过近一年的调查 中国两家公司华为 干意见 明确指出要健全安全防护和管理 和中兴被认为可能威胁美国国家通安全 从 保障重点领域息安全 是我国息安全保障 而将华为和中兴在网络设备层面 合法 地封 工作推进的纲领性文件 闭于国门外 有专家认为 以息安全为名 义的贸易壁垒会成为常态 火焰病毒Flame 5月火焰病毒Flame被卡巴斯基首次发 24 全国人大的决定 现 专家称为迄今最复杂的超级电脑病 12月28日 全国人民代表大会常务委员会 毒和间谍工具包 火焰病毒是继 震网 通过了 关于加强网络息保护的决定 该 Stuxnet 后又一个影响重大的APT攻击 决定共12条 包括保护公民个人电子息 治 事件 其目标再次指向中东 很可能是 某个 理垃圾电子息 网络身份管理 有关部门的 国家专门开发的网络战武器 网络安全事件 监管等内容 被认为是我国对公民个人息保 越来越多地体现出国家意志和国家行为 护法律体系的重大突破

25 3B大战 知名机构 电商的息泄露 8月21日360将其浏览器默认搜索引擎由 2011年末的CSDN泄露事件在2012年初 谷歌正式替换为360的自主搜索引擎 8月28 继续发酵 后 国内外知名网站 企业 公 日百度悄然对360搜索业务展开反制 用户通 共服务机构等连续发生的息数据泄密事件 过360综合搜索访问百度知道 百科 贴吧等 当当 淘宝 1号店 麦考林 京东商城等都 服务时 将会强行跳转至百度首页 8月29日 被爆出问题 Adobe数字证书签署被入侵 雅 360将网址导航搜索框中前默认的新闻 地 虎近45万账户密码被盗 看到国外著名厂商也 图 MP3等百度产品全部撤掉 替换成包括搜 难幸免 狗在内的其他产品 后双方动作不断 这是 中国互联网公司间恶性竞争的代表 12306网站 360被疑窃取用户隐私 2012年10月9日 方舟子在微博上发文称 360安全浏览器根本不安全 建议司马南这样 12306网站被确定为国家息安全等级 的特殊人士慎用 从此拉开了 方周大战 的 保护四级 12月7日又发布消息称因机房空调 序幕 随后 有关360软件涉嫌窃取用户隐私 问题停止服务 经过国内的某漏洞报告平台曝 的各种质疑及举证相继浮现 工部等主管部 光 12306网站存在XSS 绝对路径泄漏 门介入调查 此事因此在社会上引起了广泛热 SQL注入等多个高危漏洞 火车票订票系统面 议与关注 隐私安全问题成为社会关注焦点 对海量订票业务而不堪重负 服务质量和安全 成为了大众和媒体的焦点 金山猎豹等互联网 企业与12306还就抢票软件发生激烈矛盾 十八大报告 在中共十八大报告中强调了 高度关注海 洋 太空 网络空间的安全 在党和国家 级别的文献中 第一次明确采用术语 网络空 间 和 网络空间安全 上面列出2012年最受关注的10大事 件 人物 机构等 未能进 入前十的 高票热点还有 黑客组织匿 名者 英特尔芯片存在致命漏洞 等 网络舆情 社交网络等个人息发布平台对社会热点 产生了巨大的传播效应 对于舆情监控形成新 词的出现表明网络反腐成为互联网时代的一种 群众监督新形式 网络舆论正面负面兼有 真 真假假 虚虚实实 官民相争 同行互殴 异 己战 自由而诚的网络空间是网民的期望 的挑战 房叔 房嫂 表哥 等名 25

26 非 常 安 全 2013年度热点展望 事件人物类预测 中国黑客将继续被西方高度关注 所谓中国黑客活动将继续被西方媒体和研 究机构高度关注 中国黑客走出国门与世界对 话交流切磋 黑客自律公约再成话题 上海某 建筑被指黑客基地 网络安全将成贸易壁垒 各国将纷纷以确保国家息网络安全 维 护国家利益为由 引发的针对息技术产品的 贸易壁垒将日益加剧 我国网络空间安全国家战略将出台 中共十八大报告提出的网络空间安全问 题 国家相关部门将在年内推出我国新的 网 络空间安全国家战略 围绕国家战略将产生 许多重大课题和项目 法规政策依然是促进 息安全市场增长的主驱动力 重大息泄露事件还将爆发 重大用户息泄密事件可能再次爆发 数 据安全将持续成为热点而贯穿全年 数据防泄 漏DLP及相关加密技术值得关注 XX大战还将发生 带来的安全问题和商业纠纷将不断涌现 预计 2013年将发生若干起与云计算相关的安全事件 与纠纷 国内云服务商或电商将被攻击或出现 重大事故 各种攻击 威胁和脆弱性会愈演愈烈 出于各种目的 攻击者在新的一年里会变 本加厉 不择手段利用网络制造威胁 发动攻 击 系统自身的脆弱性更会层出不穷 但对于 民众会见怪不怪 即使会带来损失 网络舆情继续升温 借助社交网络所推波助澜的大范围舆情事 件还将多发 但整体网络空间并未见混乱 安全公司自身的安全 息安全公司自身的安全受到关注 安全 乌龙事件将会出现 比如 安全证书被盗用导 致的安全事件将增多 会引发民众对安全证书 的质疑 网络犯罪受到打击 相关执法机构将对网络上的地下黑色产业 链给予重大打击 国内互联网产业的竞争进一步加剧 还会 26 出现新的 XX大战 上面列出2013年被预测会发生的热点事 云服务事故将频发 随着各个云中心投入运行 各政府机构 企业等将业务迁移到云上 由 云服务 所 件 人物和机构 未进入前十的高票热 点还包括 黑客文化影响变大 息安全市场总量大幅增长

27 2012年度热点回顾 安全视角类 APT APT就是所谓高持续性安全攻击 常常 问题日益突出 而工业控制系统也成为APT攻 击的重要目标 运用了最新和最高级的0-day安全漏洞 攻击 自2011年11月工业和息化部下发了 技术 安全资源等等 通过多种多样的手段和 关于加强工业控制系统息安全管理的通 渠道 社会工程攻击常常是一个环节 APT攻 知 以来 工业控制系统息安全的重要性和 击愈加组织化 攻击针对重要对象 常常是政 紧迫性得到了充分意识 治 军事 商业等高影响目标 损失和影响常 常相当巨大 大型的数据窃取常常是APT造成 安全立法 的 震网Stunex 火焰Flame等等是典型代 息安全立法滞后问题在2012年的一些 表 目前针对APT还没有特别有效的针对性措 产业纠纷中有所暴露 12月28日 全国人民 施 代表大会常务委员会通过了 关于加强网络 息保护的决定 是近年来重要的息安全立 Android 在中国 Android手机的智能市场占有率 法 不过国内相关立法的进程还是难以满足业 界的需要 超过九成 而其整个生态环境的各个环节都安 全问题频出 国内安卓系统的应用程序泄露率 云计算安全 过半 八成软件过度要求授权 非法收集用户 云计算的认可和应用越来越甚 用户对 隐私息包括手机通讯录 身份息 地理位 于将自身的数据和运算放在云中的安全性的担 置息 诸多账号息以及邮件文件等数据 忧正在阻碍云计算的发展 云计算应用引发新 软件商店中app数量巨大 安全隐患众多 的安全问题 风险常来自于息泄露 数据丢 失 法规冲突等 2012年 针对虚拟化软件厂 商各种底层应用程序的安全漏洞 承载在虚拟 工业控制系统中的息安全性因涉及国 机上的多种应用程序的安全漏洞 用户身份 家重要基础设施 乃至国家安全而具有重要意 认证授权管理系统的安全漏洞等方面成为云计 义 但随着计算机和网络技术的发展 特别是 算环境下安全风险的研究重点 息化与工业化深度融合以及物联网的快速发 展 工业控制系统产品越来越多地采用通用协 隐私和个人息泄露 议 通用硬件和通用软件 并以各种方式与互 发生在2011年底的泄密门事件至今依旧 联网等公共网络连接 病毒 木马等威胁正在 让业界忌惮 其影响力贯穿于整个2012年 向工业控制系统扩散 工业控制系统息安全 泄密门事件余波未平 就又发生了多起电 工业控制系统 27

28 非 常 安 全 金融 电商等泄密事件 随着云计算和大数据 身份 资金等息的传输 安全问题是电子商 技术的发展 隐私和个人息安全问题更加突 务的主要技术问题 主要面临息篡改 息 出 破坏 身份识别 息泄密等安全威胁 手机病毒和恶意APP 各国国家战略 有数据显示 在Android应用500强热门 目前 美 欧 澳等各发达国家纷纷制定 榜单中 高风险应用的下载次数高达1.75亿 了自己的国家网络安全战略 2012年09月美 次 而且恶意APP数量日益激增 结合BYOD 国国防部高级研究计划局(DARPA)宣布将在未 日渐普及的今天 移动安全引起广泛关注 来五年内投入15.4亿美元在一项新计划Plan X 移动互联网行业 手机病毒急剧增加导致 近年来 欧盟加大了息安全工作力度 将其 360 腾讯 金山等企业纷纷加大投入 安全 列入 欧洲数字化议程 作为发展数字经济 成为移动互联网的争夺要地 的重要保障 随着美国国会对中国两家通企 业出的报告引发的争议 唤醒了国内业界对于 安全即服务 网站攻击 网页篡改 用户数据被拖库等 事件层出不穷 超七成网站存在安全漏洞 政 网络安全国家战略层面的考虑 网络战 府 高校网站安全性薄弱 而广大中小网站又 美国国防部开始正式确立相关Cyber War 不具备安全防护能力 基于SaaS模式的网站安 网络空间战 的作战规则 美DAPRA出台 全检测和安全防护服务出现并受到欢迎 Ｘ计划 加紧研发网络武器 在英国政府的 基于云的安全防护将从个人安全市场快速 有关公开文献中也看到这个语汇 印度也有所 向企业安全市场渗透 越来越多的安全厂商将 参与 英法俄德澳意美日等纷纷组建网军 似 会通过云端技术进行安全服务 乎大战在即 中国和西方国家间围绕网络攻 击的口水战继续增多 电子商务 中国息安全 2012年封面人物中有 随着电子商务网购的爆发 利用社会工程 五位是将军 足见息安全与国防和军事的密 学 综合多种技术手段的网购支付劫持木马大 切程度 中东地区成为网络战武器的竞技场 量出现 成为2012年最典型的木马 电子商务 从震网 火焰病毒Flame就看出来网络战正从 主要依托Internet平台完成交易过程中双方的 模拟到现实快速演进 上面列出2012年最受关注的10大安全视角 其中 28 第10是两项并列 这些视角有安全防护需求 有 安全威胁 也有安全措施和手段 有政策层面 也 有技术层面 未进入前十的高票热点视角还包括 DDoS 分布式拒绝服务攻击 移动智能终端 安全 安全标准和规范 等 安全视角类的得 票相对分散 在116项候选中有71项都有得票

29 2013年度热点展望 安全视角类预测 APT APT 高持续性安全攻击 继续成为 第 全云服务 同时本土厂商也在推动云监测以及安 全云 一些中小企业正尝试使用SaaS安全云 一 受关注的安全问题 这里聚集了所有热点 所需要的元素 最具影响的严重事件 最前沿 工业控制系统 的组合攻击技术 最困难的检测和防御方式 工业控制系统的安全问题继续成为高优先 最受关注的口水战 重大泄密和息泄露 网 级热点 在震网和火焰的威胁下 在2011年 络战等等 11月工业和息化部下发 关于加强工业控制 在2013年美国RSA大会上APT也同样受到 最大的关注 系统息安全管理的通知 以后的发酵中 工 业控制系统极度薄弱的安全防护将得到很大的 改善 SDN等软件定义环境 虚拟化的发展 SDN的出现 使得 Software Defined软件定义 近两年成为 不过今年还可能发生重大的工业控制系统 安全事件 传统息安全能力向工业控制系统 环境渗透还有一个过程 一个时髦的词汇 软件定义数据中心使IT服务 不再依赖底层硬件而被分离出来 硬件则将更 Android 加依赖智能的软件来定义和驱动未来数据中心 Android智能手机的安全性问题持续被广 的计算 2013年将是SDN技术初步应用的一 大用户关注 不过目前在如此复杂的Android 年 将与云计算技术相互渗透 生态环境下 要想安全性有质的突破还需要业 SDN将引导安全能力向 软件定义安全 界贡献出独到的突破性技术 这样的技术可能 转化 同时以SDN为代表的软件定义环境也带 不仅仅出现在手机客户端安全保护上 而很可 来新的更加复杂的安全问题 比云计算安全的 能是在 云 管 端 中的任何一个环节 也 问题将更甚 很可能是对移动互联网生态系统的一个小变革 所带来的 云计算安全将继续成为热点问题 排位的 提高也许说明云计算的实际落地更多 也导致 云计算安全更加受关注 云计算环境下虚拟化安全 数据安全 息传输安全 身份认证等继续是2013年的热 点 国外厂商正在积极与国内合作伙伴开展安 大数据安全 2012年到2013年是大数据风气云涌的爆 发期 大数据概念铺天盖地 甚至多次上到了 央视新闻联播 大数据带来大量经济价值和利 益的同时 也带来在数据处理 使用 保管和 安全等方面的巨大挑战 云计算安全 29

30 非 常 安 全 安全立法 国网络战和网络威慑力量的担忧和指责也会成 安全立法继续成为热点 在2012年12月 为常态 28日 全国人民代表大会常务委员会通过了 关于加强网络息保护的决定 后 业界呼 唤更多的息安全立法的出台 以解决我国相 关法律严重缺失和滞后的问题 DLP 息防泄露 维基解密 让全世界都对涉及国家秘 密的息泄露胆战心惊 每年愈演愈烈的重大 公共服务机构和企业的个人息泄露 让公众 安全即服务 感受到息泄露的切身危害 云计算服务的广 通过SaaS服务和云模式来交付安全能 泛认可 也将带来云中数据大规模泄露的可能 力 成为安全业界寄托产业拓展式发展的期 性 国家机构和民间机构都对DLP有切实而广 望 其背后有互联网产业 移动互联网 云计 泛的需求 算和大数据相关发展的支撑和推动 以内容检测技术为主和加密技术为主的两 大代表性解决方案 将以竞争 合作方式被企 业广泛的运用 网络战 两年一度的美国网络风暴演习没有在 2012年展开 那么是否会在2013年 上面列出预测在2013年最受关注的10大 2009年的震网造成损失 2012年的火 安全视角 其中有7项是2012年热点 未 焰被发现 下一次高影响攻击会出现在两年后 进入前十的高票热点视角还包括 钓 吗 还是就在2013年 鱼 关键息基础设施保护 社 国外针对中国的网络攻击日趋严重 加强 交网络安全 大数据用于安全 等 自身网络防御能力迫在眉睫 同时国外对于中 调研是在一个以国内息安全专家为主的核心专家圈中进行 包括院士 国家息安全 资深的老专家 学术圈教授 息安全企业的老总和技术副总 大型用户的安全负责 人 第三方权威机构安全专家 民间息安全著名人物等等 调研情况简述 30 调研共向271位专家发出了调研邀请 第一轮热点反馈共61位专家反馈了765条热点 息 经过调研工作组的整理 以保留专家原始意见的原则下 整理形成了事件人物类投 票候选项2012年44项 2013年17项 形成了安全视角类投票候选项116项 第二轮投票 共95位专家反馈投票 经过简单多数统计 形成了调研的四项票选结果

31 动 态

32 北京市委书记郭金龙 到中关村调研参观启明辰公司 32 5月4日上午 北京市委书记郭金龙围绕 优 全技术和产品展示 对公司依靠青年科技人才 发 化创新创业环境 服务青年成长发展 主题到中关 挥技术创新优势 成为国内安全专业服务市场领导 村调研并参观启明辰公司 在与首都优秀青年代 者表示赞赏 在座谈会上 郭金龙说 实践充分证 表座谈时 他勉励广大青年努力为实现伟大的 中 明 首都青年不愧为现代化建设最积极 最活跃 国梦 激情奉献 在首都现代化建设中建功立业 最有生气的力量 值得赖 堪当重任 大有希 北京市委副书记 市长王安顺一同参加 望 希望大家深刻领会实现 中国梦 对国家 民 会前 郭金龙 王安顺以及市委和各委办局领 族及每个人的重要意义 以满腔的热诚 创造的激 导亲切视察了启明辰公司 听取了公司董事长严 情 务实的态度 为中华民族伟大复兴奉献青春和 望佳女士的介绍 并观看了启明辰公司安全研究 力量 希望大家把实现个人理想同首都建设发展结 中心 ADlab 的攻防演示 合起来 努力在各自领域创先争优 创业成才 郭 位于中关村软件园的启明辰公司成立于 金龙要求各级党委政府高度重视青年创新创业工 1996年 由留美博士严望佳女士创建 是国内最 作 积极帮助青年解决难题 创造更好的创新创业 具实力的 拥有完全自主知识产权的网络安全产 环境 品 可安全管理平台 安全服务与解决方案的综 合提供商 在启明辰公司 郭金龙察看了网络安 市领导李士祥 赵凤桐 陈刚 苟仲文 市政 府秘书长李伟参加

33 启明辰获中国区数据库 安全审计与防护产品市场领导奖 近日 全球知名咨询机构Frost & Sullivan揭 晓了2012年度 最佳实践奖(BPA) 评选结果 启 明辰公司喜获 中国区数据库安全审计与防护产 品市场领导奖 Frost & Sullivan最佳实践奖 是对企业在领导力 技术创新 客户服务和战略产 品开发等方面取得的卓越表现及杰出成绩的综合评 定与认可 Frost & Sullivan经过对中国数据库安全审 计与防护产品市场进行深入调研 根据市场地位 增长速度与潜力 产品设计与竞争力等指标 最终 确认启明辰在中国市场日益凸显的领先和增长优 势 以及领先行业的产品功能与服务 Frost & Sullivan的数据显示 中国数据库安 全市场正处于高增长期 自2009年起 市场规模 始终保持20%左右的年增长率 2012年中国数据 库安全市场规模达到5亿人民币 相较2011年增长 24.1% 中国数据库安全审计与防护市场的参与者 主要有两大类 以IBM Imperva McAfee等为 代表的国际厂商 和以启明辰 安恒等为代表的 本土厂商 在众多主要市场竞争者中 启明辰不 仅具有雄厚的资本以及国际化标准的产品 同时能 够准确把握国内客户的需求 在中国市场拓展具备 9.5% 11% 本地化优势 2012年 启明辰以9.5%的市场份 年其市场份额将会进一步扩大至接近11% 并持续 保持市场领先地位 Frost & Sullivan认为 启明辰公司领先行 业的产品功能及服务 都是其能够在中国保持迅猛 增长速度的重要原因和坚实基础 ２０１２ ２０１３ 额领先于国内外厂商 占据榜首位置 预计

34 辰 动 态 启明辰天玥网络安全审计系统 独家获得IPv6金牌认证 近日 启明辰天玥网络安全审计系统获得由 的明产品一 在安全审计市场上表现卓越 产 IPv6权威机构 全球IPv6测试中心颁发的 IPv6 品功能和性能均处于业界领先水平 近日 天玥网 Ready Phase-2 认证 即IPv6金牌认证 天 络安全审计系统获得了全球知名咨询机构Frost & 玥网络安全审计系统是目前国内唯一获得IPv6金牌 Sullivan颁发的 中国区数据库安全审计与防护产 认证的安全审计产品 参考链接 品市场领导奖 ipv6ready.org.cn/index.php/news/index/ id/ 全自主知识产权的安全产品服务及解决方案提供 本次获得IPv6金牌认证 标志着天玥网络安全 商 启明辰在2003年开始进入安全审计市场 并 审计系统在IPv6一致性及互联互通方面符合IETF 推出第一款审计产品 2005年聚焦数据库审计 IPv6相关RFC标准 可进行商业部署 随着国家 通过近10年的经验积累 逐渐形成了以天玥网络安 下一代互联网 战略的快速推进 IPv6部署及商 全审计系统为代表的数据库安全审计与防护解决方 用已在某些行业开展 此次天玥网络安全审计系统 案 2012年 天玥网络安全审计系统成为国内首家 获证后 启明辰已先后在防火墙 UTM IPS 获得中国息安全测评中心颁发的EAL3级息技 WAF及网络安全审计系统五类息安全产品上获 术产品安全测评证书的产品 该级别的测评证书是 得IPv6金牌认证 作为中国息安全产业的领航企 目前为止国内同类产品中的最高安全级别 业 启明辰已率先为IPv6商用部署做好了准备 凭借着雄厚的技术研发实力 以及在息安全 并具备了为下一代互联网提供全面息安全保障的 领域的卓越进步 启明辰已成长为网络安全审计 强大能力 领域的领导企业 用户广泛分布于政府 电 金 启明辰天玥网络安全审计系统是启明辰 启明辰公司成立于1996年 是国内拥有完 融 能源 媒体 医疗等各个行业

35 启明辰独家发现 日前 启明辰公司安全事件部的高级工程师 发现了一个拥有合法数字签名的后门程序 该木马 APT 攻击 安全产品的安全事件库均已升级 用户只需及时下 载升级即可防范该病毒的攻击 病毒很可能已经存活了半年多的时间 由于样本具 在4月17日下午 启明辰在新浪微博 有合法的数字签名 因此可以躲过几乎所有主流病 发布了 毒检测产品的查杀 对该木马病毒的警告消息并引起了病毒检测厂商的 近日针对Adobe Flash漏洞 CVE 的APT攻击层出不穷 在研究这些攻 关注 截止到本稿件发布时已经有一家病毒检测厂 商能够对该病毒进行报警拦截 击时 启明辰发现了这个拥有合法数字签名 启明辰安全事件部正在对该样本进行详细 的后门程序 并将该病毒命名为 Backdoor_ 分析 后续会尽快发布该病毒的详细攻击行为及详 Fakesign 同时添加了事件 HTTP_ 细防护方法 欢迎随时关注启明辰公司的安全公 Backdoor_FakeSign_连接 目前启明辰各款 告 新浪微博 启明辰发现微软IE8高危 漏洞 理研究的最新进展 对网络漏洞与隐患攻击技术 在对微软较早前的一个漏洞进行分析研究时发现 防御与反攻击技术 实时入侵检测与监控 安全审 了一个新的漏洞 由于已经有了针对该漏洞的可用 计技术 快速应急响应 操作系统内核技术 缓冲 攻击代码 启明辰在第一时间将该情况通报给微 区溢出技术 数据库入侵与防御技术 移动终端安 软 并与其探讨了漏洞的一些息 全技术 工业控制系统安全技术 基于Web的入侵 经过确认后 微软在向全球用户发布的3月 与防御体系技术等进行了深入研究 建立了全面专 份安全补丁中即修复了此漏洞 该漏洞是安全公 业的漏洞库 攻击工具库 恶意代码库等 截至目 告 MS13-021中的微软IE浏览器的一个高危漏洞 前 启明辰已经发布了CVE漏洞近百个 持续保 CVE 是Microsoft Internet 持发布漏洞数量亚洲领先的地位 同时还针对网络 Explorer 8在CTreeNode的实现上存在use-after- 安全领域里的新技术和新方向展开了一系列的研究 free远程代码执行的漏洞 公告发布的同时 启明 工作 并在智能手机系统 工业控制系统安全方面 辰得到了来自微软的官方感谢 并获得了CVE编 获得了重大的技术突破 在操作系统安全研究方面 号 CVE 达到了国际一流水平 占有国际尖端网络安全领域 启明辰长期以来密切跟进国内 国际漏洞机 的核心地位 近日 启明辰研发本部的高级安全工程师 35

36 辰 动 态 启明辰天清WAF独家获得 IPv6金牌认证 36 近日 国内领先息安全厂商启明辰自主研 化Web应用访问和性能 提高Web应用的可用性和 发的天清Web应用安全网关 WAF 产品获得由 安全性 可以为电子商务 网上银行 电子政务及 IPv6权威机构 全球IPv6测试中心颁发的 IPv6 媒体网站提供全面的安全防护 Ready Phase-2 认证 即IPv6金牌认证 获 随着国家 下一代互联网 战略的快速推进 得标识编号为02-C 这标志着该产品在 IPv6部署及商用已在某些行业开展 此次天清WAF IPv6一致性及互联互通方面 符合IETF IPv6相关 获证后 启明辰已先后在防火墙 UTM IPS及 RFC标准 可进行商业部署 此认证为IPv6领域最 WAF四类息安全产品上获得IPv6金牌认证 作为 高级别的资质认证 启明辰天清Web应用安全网 中国息安全产业的领航企业 启明辰已率先为 关系统V7.0也成为目前国内唯一获此认证的Web应 IPv6商用部署做好了准备 并具备了为下一代互联 用防火墙类息安全产品 网提供全面息安全保障的强大能力 天清WAF是采用启明辰公司VXID专利算法 参考链接 启明辰天清Web应用安全网关系 技术的新一代Web安全防护与应用交付类应用安全 统获得IPv6 Ready Phase-2金牌认证 产品 能够对Web服务器进行HTTP/HTTPS流量 ipv6ready.org.cn/index.php/news/index/id/152 分析 防护以Web应用程序漏洞为目标的攻击 优

37 启明辰天清WAF市场份额名列前茅 金牌认证 这标志着该产品在IPv6一致性及互联 发布了2012年度 WAF Web应用防火墙 市 互通方面符合IETF IPv6相关RFC标准 可进行商 场报告 启明辰公司的天清Web应用安全网关 业部署 此认证为IPv6领域最高级别的资质认证 WAF 在销售收入方面增长最快 并且以25.2% 启明辰天清Web应用安全网关系统V7.0是国内第 的市场份额 在中国市场名列前茅 一家获此认证的Web应用防火墙类息安全产品 天清WAF是启明辰公司自主研发的 采用 2012年5月 启明辰在国内首家发布了万兆 VXID专利算法技术的新一代Web安全防护与应 WAF 其采用多核架构并行计算体系 实现超过 用交付类应用安全产品 能够对Web服务器进行 10G数据吞吐量 在2012年 天清WAF通过了 HTTP/HTTPS流量分析 防护以Web应用程序漏 国际安全组织CVE Common Vulnerabilities 洞为目标的攻击 优化Web应用访问和性能 提高 & Exposures 通用漏洞披露 严格的标准评 Web应用的可用性和安全性 天清WAF已经在政 审 获得最高级别的CVE兼容性认证 CVE 府 金融 运营商 能源 教育 电子商务等多个 Compatible 目前 天清WAF是国内厂商中唯 领域得到了广泛的应用 一获得CVE认证的WAF类产品 同样在2012年 2013年 启明辰天清Web应用安全网关系 天清WAF获得了OWASP颁发的 Web应用防火墙 统V7.0获得由IPv6权威机构 全球IPv6测试中 认证证书 成为国内首家获得OWASP组织颁发 心颁发的 IPv6 Ready Phase-2 认证 即IPv6 的最高级别的认证证书的WAF类产品 近日 全球知名咨询机构Frost & Sullivan 37

38 辰 动 态 启明辰WAF荣获多个奖项 日前 在多家媒体进行的2012年产品奖项评 万兆WAF 其采用多核架构并行计算体系和VXID 选中 启明辰天清Web应用安全网关 WAF 专利算法技术 是新一代Web安全防护与应用交付 凭借出色的产品性能 功能 以及优异的市场表 类应用安全产品 实现超过10G数据吞吐量的安全 现 获得了多个奖项 包括 IT168年度产品奖 防御 天清WAF已经在政府 金融 运营商 能 ZDNet最佳万兆Web应用防火墙 计算机世界 源 教育等多个领域得到了广泛的应用 2012年度优秀产品奖 38 在2012年 天清WAF通过了国际安全组织 随着网站受攻击事件的频繁发生 越来越多 CVE Common Vulnerabilities & Exposures 的企业和机构对于Web网站的安全更加重视 特别 通用漏洞披露 严格的标准评审 获得最高级别的 是一些对息安全保障水平要求较高的行业 纷纷 CVE兼容性认证 CVE Compatible 目前 天 采购WAF Web应用防火墙 来保护Web网站安 清WAF是国内厂商中唯一获得CVE认证的WAF类 全 产品 天清WAF内含基于国际标准建立的安全漏洞 天清WAF主要针对Web服务器进行HTTP/ 库 并通过网络升级与国际最新标准保持同步 HTTPS流量分析 防护以Web应用程序漏洞为目 同样在2012年 天清WAF通过了OWASP 标的攻击 并针对Web应用访问各方面进行优化 技术专家的详细评测 并获得了OWASP颁发的 以提高Web或网络协议应用的可用性 性能和安全 Web应用防火墙认证证书 天清WAF成为国内 性 确保Web业务应用能够快速 安全 可靠地 首家获得OWASP组织颁发的最高级别的认证证书 交付 在2012年5月 启明辰在国内首家发布了 的WAF类产品

39 启明辰IPS通过下一代 互联网息安全产品测试并获专项支持 启明辰公司很早就开始了IPv6架构下的产 御系统 IPS 顺利通过 2012年国家下一代互联 品布局 早在2006年 就开始在安全产品上实施 网息安全专项 产品测试并获得国家专项资金支 IPv6相关功能的支持 并完成了 基于IPv6 的入 持 启明辰公司成为唯一一家通过该产品测试并 侵检测系统 国家预研课题 天清入侵防御系统是 获得专项支持的入侵防御类产品厂商 为IPv6商用化做准备的下一代互联网核心安全产 为贯彻落实国务院关于加快我国下一代互联网 品 在测试中表现优异 获得了公安部下一代互联 发展的工作部署 在2012年2月 国家发展和改革 网产品销售许可证和国家息安全测评中心EAL3 委员会启动了国家下一代互联网息安全专项申报 认证 并获得国家专项资金支持 工作 并委托公安部计算机息系统安全产品质量 目前 国家下一代互联网工作正在快速推进 监督检验中心等国内多家权威测评机构对通过专家 根据相关工作部署 2013年底前要开展IPv6网络 评审的项目产品进行严格的功能和性能测试 根据 小规模商用试点 预计到2015年底 将有2001个 测试结果 最终确定立项项目 县级政务网 332个地市级政务网 34个省级政务 本次产品测试由国家发展和改革委员会委托 网 5000多个县级以上政府职能部门政务网 117 公安部计算机息系统安全产品质量监督检验中心 个中央企业网站 2138所高等院校网站 必须完 等多个权威机构进行 启明辰公司申报的下一代 成IPv6升级改造 入侵防御产品作为下一代互联网 互联网入侵防御系统 天清入侵防御系统 通 核心安全产品 将在下一代互联网过渡发展中发挥 过了严格的性能和功能测试 不仅有极高的处理性 重要的安全保障作用 启明辰天清入侵防御系统 能 而且能够适应下一代互联网环境 满足在IPv6 IPS 已为此做好了准备 环境下各种场景的网络息安全需求 日前 启明辰公司自主研发的天清入侵防 39

40 辰 动 态 启明辰荣获 中国软件创新力20强称号 近日 由中国版权保护中心主办的 纪念计算 机软件著作权登记制度实施20周年 2012 中国软件 40 意识作为评选标准 评选经过初评 复评 专家评 审等程序 最终评出 中国软件创新力20强 创新企业颁奖 在2013 CPCC中国版权服务年会开 凭借多年来的潜心研发 启明辰成为国家认 幕式上举行 启明辰 广联达 金山软件等国内 定的企业级技术中心 国家规划布局内重点软件企 一批优秀的软件企业 凭借突出的软件创新研发能 业 拥有最高级别的涉及国家秘密的计算机息系 力和领先的专业核心技术等优势荣膺 中国软件创 统集成资质 并获得国家火炬计划软件产业优秀企 新力20强 业 中国电子政务IT100强等荣誉 中国软件创新企业评选是中国版权保护中心 启明辰拥有我国规模最大的国家级网络安全 2012 CPCC软件服务年 活动的重要内容一 研究基地 创造了百余项专利和软件著作权 参与 是国内软件版权领域内首次进行的权威性 公益性 制订国家及行业网络安全标准 填补了我国息安 评选活动 评选以 鼓励创新 保护版权 服务企 全科研领域的多项空白 完成包括国家发改委产业 业 为宗旨 将企业的软件创新能力 软件技术创 化示范工程 国家科技部863计划 国家科技支撑 新产生的经济和社会效益 以及企业软件版权保护 计划等国家级科研项目近百项

41 启明辰成为 CISPA唯一息安全理事单位 企事业单位 以企业为主体 以平等互利 优势互 展联盟 China Industrial Software Promotion 补 资源共享 合作共赢为原则 整合产业发展资 Association CISPA 理事单位 启明辰是所 源 优化产业发展环境 协助政府实现行业自律 有理事单位中唯一的息安全企业 整体提升工业软件产业的技术研发水平 制造水平 中国工业软件产业发展联盟成立于2010年12 和服务水平 满足用户需求 促进工业软件产业的 月 是在工业和息化部软件服务业司指导下 北 经济增长 促进完整的产业链和成熟健康的市场 京市经济和息化委员会 上海市经济和息化委 启明辰作为国内领先的息安全企业 始终 员会 广东省经济和息化委员会等单位联合支持 关注工控系统领域的息安全发展态势 并且有针 下 由国内部分优秀工业软件企业共同发起 由从 对性的提出了对工控系统进行分层 分域 分等级 事工业软件产品与服务的制造者 使用者 研究 的安全体系架构思想 启明辰将积极参与工控系 者 社会中介组织和管理机构自愿参加组成的民间 统政策 规范 标准的制定 跟踪最新技术发展趋 团体 势 及时把握市场需求动向 为工业控制系统相关 联盟旨在联合国内致力于工业软件产业发展的 网络安全产品的推广打下坚实的基础 近日 启明辰受聘成为中国工业软件产业发 41

42 启明辰举办广西用户交流 近日 启明辰公司在广西举办了 启明辰 布的2012年度 WAF市场报告显示 启明辰公司 2013广西用户交流会 就企业息安全问题与广 的天清Web应用安全网关 WAF 在销售收入方面 西客户进行了全面深入的交流 增长最快 并且以25.2%的市场份额在中国市场名 启明辰公司高级副总裁吴俣介绍了公司的发 展状况 以及公司的主要产品 解决方案等 他表 天清Web应用安全网关 WAF 是启明辰 示 在过去的一年里 随着互联网技术的迅猛发展 公司自主研发的 采用VXID专利算法技术的新一 和广泛普及 用户所面临的息安全威胁与风险不 代Web安全防护与应用交付类应用安全产品 能够 断增大 息安全问题日益凸显 用户亟需专业的 对Web服务器进行HTTP/HTTPS流量分析 防御 安全解决方案来防范复杂多变的恶意攻击 来自外部的SQL注入 XSS攻击 Web恶意扫描 在会上 启明辰的WAF产品专家与用户分享 CSRF HTTP Flood XML Dos等各种恶意攻 了Web安全防护解决方案后 用户在休息期间详细 击 优化Web应用访问和性能 提高Web应用的可 了解启明辰公司的WAF产品和Web安全防护解决 用性和安全性 天清WAF已经在政府 金融 运营 方案 商 能源 教育 电子商务等多个领域得到了广泛 2013年 越来越多的客户开始部署Web安全 42 列前茅 防护产品 全球知名咨询机构Frost & Sullivan发 的应用

43 视 点

44 安 全 视 点 深入解读RSA 2013热点技术 文/叶润国 摘要 本次RSA峰会启明辰关注的热点技术包括 大数据和APT 安全事件分析 脆弱性管理 身份标识管理 Web应用安全 安全网关 无线网络安全 云计算安全 数据防泄密和智能沙盒 RSA 2013热点排名 RSA 44 identity management date loss prevention anti malware authentica tion mobile device security cloud computing application security ompliance interprise security anagement date security 峰会共有350 次RSA大会发现 RSA2012展会 本次RSA峰会启明辰关注的热点 家安全厂商参加 参 的支撑性厂商大部分是做硬件的 技术包括 展厂家数量超过了以往RSA年会 多强调产品性能 代表性产品是 大数据和APT 安全事件分析 脆 这两年RSA大会的关注热点并没有 UTM和NGFW RSA2013年展会 弱性管理 身份标识管理 Web 太多的变化 从图中可以看到 热 的支撑性厂商多强调安全功能 代 应用安全 安全网关 无线网络安 点依然还是数据安全 企业安全管 表性产品是安全监控和分析产品 全 云计算安全 数据防泄密和智 理 合规性 应用程序安全 DLP 比如 今年很多厂商都在宣传APT 能沙盒 下面是对一些技术热点的 等 但是通过对比2012和2013两 检测和防御产品 分析

45 大数据和APT检测 常变化 因此 可以采用传统入侵 功能上集成了文件完整性监控和主 大数据和APT检测绝对是 检测方法来检测APT通通道 典 机行为监控功能 目标瞄准APT攻 RSA2013大会的最热点 有很多 型代表厂商有趋势科技 飞塔等 击检测 我们还看到的另一个现象 厂商都提出了自己的APT安全解 决方案 我们可以把这些方案分 为四类 4 大数据分析检测APT类 是 很多SIEM厂商开始采用大数 该类APT攻击检测方案并不 据技术来做日志和安全事件分析 重点检测APT攻击中的某个步骤 恶意代码检测类 而是通过全面收集重要终端和服务 该类APT解决方案其实就是检 器上的日志息以及采集网络设备 测APT攻击过程中的恶意代码传播 上的原始流量 进行集中分析和数 步骤 因为大多数APT攻击都是采 据挖掘 它是一种网络取证思路 用恶意代码来攻击员工个人电脑以 它可以在发现APT攻击的蛛丝马迹 进入目标网络 因此 恶意代码的 后 通过全面分析海量数据 从而 检测至关重要 很多做恶意代码检 还原整个APT攻击场景 大多数拥 测的安全厂商就是从恶意代码检测 有大数据分析技术的厂商都采用这 入手来制定APT攻击检测和防御方 种思路来检测APT攻击 典型的厂 案的 典型代表厂商包括FireEye 商有RSA和SOLERA 1 代表厂商是splunk 和GFI Software 主机应用保护类 安全事件分析 SIEM 脆弱性管理 不管攻击者通过何种渠道发送 本次RSA大会参展的SIEM厂 今年的RSA大会同样吸引 给组织员工的恶意代码 必须在员 商较多 包括RSA Arcsight 了很多脆弱性管理厂商 包括 工的个人电脑上执行 因此 如果 LogRhythm Agiliance Qualys ncircle和secunia等 能够确保员工个人电脑的安全则可 AlertLogic AlienVault 今年这些厂商都在强调脆弱性管理 以有效防止APT攻击 主要思路是 SenSage等著名的SIEM公司 过程 Qualys公司推出了基于云 采用白名单方法来控制个人主机上 一些系统厂商也通过并购动作进 的脆弱性管理服务 该服务覆盖脆 应用程序的加载和执行情况 从而 入SIEM市场 比如HP收购了 弱性整个生命周期 包括漏洞挖 防止恶意代码在员工电脑上执行 Arcsight 从展会情况看 传统 掘 漏洞扫描 漏洞评估和漏洞补 很多做终端安全的厂商就是从这 SIEM厂商比如RSA和Arcsight等 丁管理等 从而可以实现集中脆弱 个角度入手来制定APT攻击防御方 依然实力很强大 但根据gartner 性监控 扫描和防护 ncircle也 案 典型代表厂商包括Bit9 魔力象限数据看出 新型SIEM 推出了基于云的脆弱性管理服务 厂商LogRhytm从2012年开始已 主要客户是大公司和企业 它提出 就是通过网络边界处的入侵检 经超过RSA和Arcsight 成为了 以补丁管理为中心的脆弱性管理概 测系统来检测APT攻击的命令和控 SIEM领域的领头羊 SIEM看点 念 Secunia本次不再宣传其漏洞 制通道 虽然APT攻击中的恶意代 是 这些SIEM安全产品提出了下 扫描器 而是强调脆弱性管理过 码变种很多 但是 恶意代码网络 一代SOC概念 LogRhythm提出 程 基于其脆弱性管理套件提出了 通的命令和控制通模式并不经 了SIEM2.0概念 它在传统SIEM 一个补丁管理过程 包括脆弱性挖 3 网络入侵检测类 2 45

46 安 全 视 点 掘 脆弱性扫描 补丁自动创建和 类 Web应用防火墙 WAF NGFW和UTM概念 各厂商的理 补丁部署等步骤 它部署在Web服务器端用来保护 解有所不同 NGFW代表厂商Palo Web服务器的安全 Web网关 Alto认为NGFW首要关注产品对应 部署在企业网边界 用来保护企业 用的识别与控制 传统防火墙功能 身份标识管理也一直是RSA 内部上网用户免受来自Web的网页 其次 UTM代表厂商Fortinet认 大会的热点 很多厂商涉足这个领 木马或恶意代码的攻击 或者规范 为NGFW产品是UTM产品的功能 域 以前的身份标识管理厂商只做 用户的Web访问行为 Imperva展 子集 NGFW概念是在UTM后 身份标识管理产品 现在 很多厂 出了其Web应用防火墙产品 除了 出现 因为有用户只关注NGFW功 商开始运营身份标识管理服务 包 可以为Web服务器提供传统的实时 能 不需要全功能UTM 因此诞 括基于云的身份标识管理服务 目 Web攻击防护外 还可以提供包括 生了NGFW概念 但我们看到 前提供身份标识管理的厂商多为小 访问审计 取证分析和数据防泄密 NGFW与UTM从产品角度来看呈 型创业公司 但伴随着云计算的日 等新型安全功能 Imperva WAF 现出趋同趋势 比如 Palo Alto 益普及 将会有很多大公司进入身 还具有环境感知能力 通过主动扫 在增强其NGFW产品的AV功能 份标识管理服务领域 在身份认证 描或者第三方扫描结果导入等方法 该功能在标准的NGFW定义中是 方面 目前带外认证技术已经非常 收集被保护Web服务器的一些脆弱 没有要求的 Fortinet在其最新 流行 包括Entrust Authentify 性息 包括漏洞和配置息 UTM产品中增强了抗DDoS功能 公司的移动电话号码 pin码 语 从而为Web服务器提供虚拟化补 安全网关的技术发展动态主要表现 音识别认证技术 同时我们也看到 丁等高级安全功能 WebSense是 在以下几点 采用智能沙箱 异常 了一些新型公司如HID和SPYRUS Web安全防护领域的佼佼者 其 检测等方法来弥补传统基于特征匹 在使用生物特征识别技术来实现 WAF可以提供分角色管理和应用 配的检测方法不足 开始融合大数 身份认证 身份标识管理方面的 加速等功能 此外 Websense的 据分析技术 并注重安全威胁情报 另一个趋势是 很多身份标识管 Web网关产品提供包括DLP 网 收集 注重网络流量的可视化 有 理厂商推出基于云架构的单点登录 络分类和细粒度访问控制等安全 些产品可以对全流量数据进行深度 SSO 服务 从而可以解决客户 功能 Barracuda也同时展出了 分析 可以实现网络流量的回溯和 的多系统 多Web应用间的一次 其WAF和Web网关产品 其中 关联分析 安全网关实现模式也在 性认证问题 WAF产品提供了缓存加速 连接 发生变化 由先前的集中网关模式 池 内容压缩 负载均衡等特性 变为前后端模式 前端仍然是安全 身份标识管理 IAM Web应用安全 应用安全一直以来是人们关 46 网关 而后端是云计算 安全网关 无线网络安全 注的重点 应用安全中最主要的 本次RSA峰会吸引了包 安全问题是Web安全 本次RSA 括Fortinet Cyberoam 无线网络安全也颇受关注 展会 著名的Web安全厂商包 Juniper Sourcefire 华为 本次展会上Motorola展示了一个 括WebSense Barracuda和 SonicWall Palo Alto在内的著 无线管理平台 AirDefense Imperva都展出了自己的Web安全 名安全网关厂商 NGFW与UTM 通过从AP端的传感器实时获取 产品 Web安全产品可以分为两 仍然是这些厂商的宣传重点 关于 检测号 发现问题 分析故障

47 2013年云计算安全威胁报告 列 位问题AP并立刻进行处理 包 出了9大云计算安全威胁 包括 括重启故障AP 增大AP功率或 1.数据泄露 2.数据丢失 3.账户 者端口问题终端等 RSA通过收 劫持 4.不安全的API 5.拒绝服 购Meraki进入无线安全领域 务攻击 6.内部人员的恶意操作 Meraki最早提供AP产品 后来 7.云计算服务的滥用 8.云服务规 发展UTM产品线 其低端UTM 划不合理 9.共享技术的漏洞问 在传统安全功能基础上提供无线 题 此外 针对虚拟化和云计算 接入及无线IPS功能 移动安全 基础架构 也有安全厂商展出其 和BYOD是无线网络安全中的热 相应的安全解决方案 趋势科技 点 典型厂商包括InfoExpress 针对VMware等虚拟化基础架构提 Fasoo PointSharp和华为 比 供基于Deep security的安全解决 如 Airwatch提供全面的移动安 方案 保证VMware等的安全 全解决方案 包括移动设备管理 checkpoint Fortinet等安全厂 移动应用管理和移动内容管理等服 商针对云计算多租户特点 将传统 务 Mocana提出了安全沙箱的移 安全产品转换为虚拟安全器件 从 动APP防护方案 可以为现有移动 而可以部署在VMware等虚拟化基 APP提供包括安全认证 数据加密 础架构上面 为多租户提供独立的 和位置隐藏等能力 通过对这些移 安全服务 VMware软件定义的数 动安全解决方案分析发现 使用的 据中心 将它的Vshied安全套件 技术不外乎是应用虚拟化 虚拟桌 包装到了VCD软件包中 从而实 面和沙箱技术 现虚拟数据中心的安全 云计算安全 数据防泄密 DLP 云计算安全和基于云计算模 数据防泄密是历届RSA大会 式的安全服务是本届RSA大会的 的热点 本届也不例外 且热度继 热点 微软在RSA大会上发布了 续上升 从2012年排名13位提升 免费CSRT工具 CSRT是一个调 为2013年第9位 本届RSA大会 查工具 可帮助企业组织审查和 有超过37家公司宣传重点DLP 了解他们的IT成熟度水平和他们是 有超过100家涉及DLP 我们可 否准备好将其业务迁移到云中 以将DLP厂商分为两类 1 侧 CSRT工具采用云控制矩阵 来考 重DLP终端的厂商 这主要是传 虑数据安全性 隐私和可靠性因素 统防病毒厂商 包括McAfee 以及关键的合规性因素 云安全联 Symantec Sophos和趋势科 盟 CSA 在RSA峰会上发布了 技等 侧重DLP网关的厂商 这 主要是传统的FW/IPS厂商 包 括Websense TrustWave WatchGuard Paloalto 这些 年来发生的一系列数据泄密安全事 件 使得越来越多的人重视数据安 全问题 不少安全厂商开始进入 DLP领域 DLP的三个变化是 出 现了ALL IN ONE趋势 典型代表 就是 一些网关厂商开始将DLP和 APT检测功能集成到其UTM或IPS 产品中 由于BYOD的升温 围绕 移动设备的数据防泄密成为热点中 的热点 有些厂商提出了基于云和 大数据的数据防泄密解决方案 和优化网络 AirDefense可以定 47

48 安 全 视 点 创新沙盒 48 题是移动安全 比较有代表性的创新为 Remotium Silent Circle Wickr PrivateCore 提供了移动应用虚拟 提供一个全球性的加 一款军用级加密的手 针 对 内 存 dump 化 技 术 在 公 共 或 私 密 通 服 务 为 移 动 机通应用 其特点 KVM 攻 击 速 冻 有云上运行移动应 设备提供了一整套 是 账户匿名不可追 内 存 断 电 保 持 用 并 将 可 视 化 数 既简单又安全的工 踪 可设置息时效 内 存 NVRAM 等 据 传 送 到 移 动 设 备 具 视 频 加 密 通 并能自动销毁息 可以从内存中获得敏 Remotium 被 评 为 话 加 密 文 本 加 密 和 自动清除隐私 如照 感 数 据 的 攻 击 方 法 2013 年 RSA 大 会 最 电子邮件加密 片的位置息 PrivateCore 公 司 在 佳创新公司 每年 RSA 峰会上的创新沙盒论坛都会吸引很多人关注 今年的创新沙盒主 RSA 峰 会 上 提 供 了 一 款 称 为 vcage 的 虚 拟 机 产 品 它 是 一 个 Hypervisor 通 过 实 现虚拟机内存全加密从 而有效防范上述攻击

49 大数据 高端安全检测的必由路 文 /Jordan 摘要 息安全的检测中有一部分是高端安全检测 高端安全检测涉及对检测模式的 重新认识 这就涉及到大数据 息安全的检测中有一部分 包过滤规则 这些检测都相对简单 算复杂度的作用 传统安全公司技 术能力的竞争 主要就是看你能获 是高端安全检测 高端安 第二种是 检测腰 基于单 全检测涉及对检测模式的重新认 一特征的检测 比如 漏洞特征 识 这就涉及到大数据 病毒特征 攻击特征 URL 黑白 第三种是 检测颈 属于高 名单等等特征库检测 单一特征强 端检测 包括 APT 检测或者宏观 探寻高端检测 调的是可表达 可处理和可操作性 态势感知等 另外 检测腰中部分 从检测方面来看 有三个境界 所谓特征 或者称某种模型 我 特征的提炼和分析其实也属于高端 第一种是 检测足 属于简 们使用它的计算复杂度要大大低于 检测的范畴 单检测 比如 有阈值限制 超过 提炼获取它的复杂度 这里比喻成 了什么值 系统就会告警 再比如 检测腰 就是因为它有一个收紧计 APT 检测 颈 宏观态势感知 高端 腰 单一特征 足 取和积累多少特征 简单规则 多点 / 长时 / 多类型 特征库检测 单点 / 短时 / 单项 包过滤规则 阀值限制 49

50 安 全 视 点 谈到高端安全检测问题 可 以简单地分为两类 一类是宏观安 怎么能够确定哪段数据值得怀疑并 个 被检测域 你并不确切地知 进行深入的分析呢 道你所要找的求检对象在哪里 于 全检测 典型问题就是网络宏观 试解高端检测中的大数据问题 能地多覆盖求检对象 也就是要先 典 型 问 题 就 是 APT Advanced 上面提到的这两种高端息安 扩大被检测域 被检测域变大了数 Persistent Threat 高级持续性 全检测问题 最终都导向了大数据 据变多了 自然而然就变成了大数 威胁 攻击发现 方法 据问题 APT 检测的出路可能就在 关于宏观态势感知 如城域 面对宏观态势感知和预测问 网的网络事件态势感知 目前方法 题 归结起来就是在海量的数据中 APT 有很大的空间不确定性 还相对较少 举个例子 启明 发现宏观的波动趋势 哪怕是细微 APT 攻击走哪条路径不得而知 这 辰实现了一个地址熵算法 熵是离 的波动 也是宏观问题 宏观态势 散度的一种评价 所谓地址熵就是 感知和预测 就是要发现这些波动 累积计算网络上的源地址的熵和目 并且判断出来哪些波动会演变成灾 的地址的熵 并对两条随时间变化 难性的网络风暴 以便及时加以遏 的地址熵曲线进行跟踪分析 如果 制 要发现和描述这样的态势 仅 目的地址熵突然下降 也就是目的 仅靠局部数据计算得出的简单统计 地址突然集中了 由此可以立即判 指标是非常不够的 即使是地址熵 断出来可能发生了分布式拒绝服务 这样的精妙指标也是不够的 在这 攻击 如果目的地址熵微升而源地 方面的研究中 可以类比的其他学 址熵下降 源地址相对较集中 意 科就是天气预报 股票期货金融品 味着有网址在密集地向外广泛地发 分析预测等等 这种分析活动 自 包 可以初步判断可能出现了扫描 然而然就是大数据 事件或蠕虫传播 这两个地址熵指 标就像天气预报中常用的温度 气 50 是检测者就希望 被检测域 尽可 态势感知 一类是微观安全问题 而面对 APT 攻击发现问题 最终也是大数据问题 大数据上 就是息不对称 防御者不知道攻 击者从哪条路径来进行攻击 这是 非常头疼的事情 但路是防御者的 路 攻击者一定会通过防御者的路 并靠近防御者 这就是防御者的优 势 我们讲从空间角度来扩展被检 测域 只要扩展更多的有效检测点 总能获得更高概率来截获攻击路 径 更多的检测点 更多样的检测 点 更多的数据 有利于解决 APT 问题 APT 有很大的时间不确定性 从时间角度来扩展被检测域 一个最 简单直接的思维突破就是 存储 压等这些衡量指标 目前 在城域 APT 的 A 高 级 不 仅 仅 是 某 网监控方面这样特别有效的既简单 些具体攻击手法隐藏很深 还包括 又精妙的算法并不多 APT 攻击在空间上的不确定性 而 如 0-day 问题 在没有特征的时候是 关于 APT 攻击 目前常见的 APT 的 P 所代表的时间上的长期持 难于检测到的 如果用一个网络录像 提出的 APT 应对方法 很多是在 续性或者断续性 更是 APT 的检 机把所有的网络流全录下来 回过头 APT 中 的 A 高 级 上 下 功 夫 测难点 来有了特征后再检测 就可能发现 也就是如何深入分析隐蔽性很深 攻击的空间拓展变化包括持续 说得更哲理一些 就是 记忆 比 攻击 有部电影名字叫 源代码 的恶意代码和行为 确实 当我们 性 蔓延性 传播性 渗透性等等 其情节就是这个感觉 能够运用存储 拿到一段值得怀疑的代码和数据 这一变化带来了安全模式的变化 运用记忆 形成一个时间机器 反复 集 对其进行深入分析是可行的 求检对象隐藏在一个检测环境里 的回溯分析 这就是所谓的时间领域 但是难的就是 从茫茫数据中 我 你采集过来进行检测计算的就是一 扩展 也就是用 P 来对抗 APT 中的 P

51 以考虑给被检测域数据提前打标签 将海量被检测域数据中的有用数据浓 数据 其数据性质和形态都与被检测 缩下来 域的数据大大不同了 可以称为轻干扰检测 轻破坏检 浓缩 筛选 抽样等等可以理 场景步骤是对于检测结果的组 测 这可以使其具有某种全息性 解为分析过程中的物理处理过程 所 合性分析 分析出的场景 可能来自 这种干扰的不同处理 都是分析目的 谓物理过程就是不改变被检测域数据 对于精确检测的细微时间的组合 也 和过程对于前端采集技术链条施加影 的原有性质和形态 就如同炼铁过程 可能来自于浓缩过程的提炼 响 当然 这样很可能会进一步增加 中的选矿筛矿 比如渲染 + 半衰的处 检测过程的复杂程度 也可能让检索 理算法 对于被检测域进行数据分块 变得更快捷 对数据块的疑似程度进行打分渲染 大数据通常分为两类 一类是 然后再一个周期中对所有数据块进行 天然大数据问题 如基因计算 矿 半衰式处理 后在进行打分再半衰 物勘测 空间探测等 这类是客观 原先我们的安全检测都是三步 低于某一个阈值的数据块被丢弃 如 存在的大数据问题 还有一类是人 检测 采集 分析 关联 而有了上 此循环下去 留下的数据块集合就是 参与的大数据问题 如购物数据 面阐述的 大 思路 就变成了一个 被浓缩的被检测域 社交网络数据等 这一类可以通过 新安全检测思路 四阶段检测 四步检测 扩大 浓缩 精确 场景 精确检测就是借助传统的误用 也就是将原先三步中的 采集 变 检测和异常检测来进一步分析 在这 成了 扩大 扩大被检测域以便更 个阶段我常常将比喻成分析过程的 可能覆盖求检对象 以及 浓缩 化学反应 这个时候提取出来的结论 息安全与大数据 检测目的对这些数据进行前端影 响 安全属于第二类 大数据相关思维和技术在安全 中的应用非常值得期待 在息安全检测的采集上 可 51

52 安 全 视 点 当息安全遇上应用交付 文 / 谭闯 2011 年 7 月 F5 推 载均衡 随着客户应用越来越复杂 出主打安全功能 需求越来越多 逐渐产生了应用层 的 BIG-IPv10.1 版本 应用交付产品在做 4 层负 两个因素 一是客户需求的提升 载 均 衡 时 协 议 IP 接 口 等 除了负载均衡 客户的应用需要在 息是其分担技术基础 而 7 层的 部署时更加灵活 更加适应应用本 负载技术同时也要求应用交付产 从负载均衡 应用交付到交付 身的特点 二是 SSL 加速技术 品能够完成对应用层协议 如 安全 在短短的十几年里 交付领 HTTP 压缩技术等一系列应用交付 HTTP SMTP 等协议的解析 这 域的变化可谓日新月异 从软件到 技术在不断发展和整合 这些都推 些技术为应用交付产品完成安全 硬 件 从 4 层 负 载 到 7 层 应 用 动着应用交付持续向前发展 从应 功能打下了技术基础 而这两年 F5 思杰这样的主流 用部署理念上来讲 负载均衡关注 交付技术在不断更新 但应 厂商又将应用交付的大旗指向了 业务流进入数据中心的过程 而应 用交付的部署位置却从未改变 服 息安全 用交付更加关注应用交付出去的效 务器负载 应用加速 卸载 通常 果 更加关注用户的使用体验 部署在服务器区前端 链路负载通 设备解决方案 2012 年 思杰发布安全 高 效的 WEB 应用云安全产品 这些仅仅是厂商的 噱头 么 事实并非如此 安全自需求而来 52 技术推动安全 应用交付的产生主要来源于 2012 年 F5 推 出 安 全 移 动 的负载均衡 技术的融合已经成为一个大趋势 应用交付技术正是从业务连续 常部署在多链路出口 而这些位置 性着手 从解决高可用性 逐渐发 本身也正是传统安全产品防火墙 展到解决应用优化 安全问题 一 IPS WAF 的部署位置 应用交付是从负载均衡概念延 步步的迈向用户的最终需求 对于 安全问题的日益突出 也使 伸而来 最初的负载均衡作为一项 提供应用交付的厂商而言 从最开 得应用交付产品设计人员注意到 分担技术 曾经是路由交换设备的 始的传统的网络厂商 慢慢的有更 通过应用交付产品构建第一道安全 基本技术 如链路负载 其主要 多关注于应用 关注于安全的厂商 防线的必要性 而 F5 思杰以及 目的在于解决大并发数据流量时的 加入进来 而传统的网络厂商也逐 国内主流安全厂商的跟进 则使得 压力分担 以及做 4 层的服务器负 步迈向安全 应用交付技术与安全 这种希望逐渐变为现实

53 应用交付身上的安全因子 全理念与攻击防护无法解决网上的 更进一步的 7 访问控制 应用攻击问题 典型的就是目前常 基 于 IP 协 议 端 口 的 4 层 见的防火墙 入侵检测和 IPS 等设 访问控制已经是防火墙产品的标 备的特征码技术在银行的 SSL 加密 配 对于应用交付来说 仅仅支持 流量下毫无用处 无法进行解密 4 层的访问控制还远远不够 如今 应用交付产品提供的 SSL 卸载功 网络攻击已经由传统的 3 4 层向 能 不单能减轻后台服务器的负担 4 7 层扩展 通过对应用层的协 更重要的是 可以对卸载后的数据 议解析 应用交付产品可以支持对 进行安全检测 阻断攻击报文 应用层数据的访问控制 因而使服 WEB 安全 务器得到更高的安全性 WEB 安全的核心是对 HTTP DDoS 攻击的第一道防线 报文的解析和处理 应用交付产品 服务器负载均衡是应用交付的 部署在服务器前端时 在优化 加 基本应用 应用交付负责将用户流 速业务的同时 也在并行处理各种 量分担到不同服务器上 可以想象 安 全 事 务 从 HTTP 协 议 合 规 性 一台没有任何安全功能的应用交付 检 查 到 防 息 泄 露 以 及 各 种 产 品 在 发 生 DDoS 攻 击 时 毫 SQL/XSS 的阻断 在保障应用安 无区分的将 DDoS 攻击的流量分 全性与畅通的同时 极大的减少了 配到用户服务器所带来的灾难性的 服务器群的负载 将服务器从大量 后果 通过在应用交付产品上合理 安全连接 数据加密中解脱出来 配置就可以很好的应对 DDoS 攻 更加专注在应用处理本身 目前主 击 应用交付产品自身工作在 TCP 智能 DNS 以及全局负载均衡部署 流的应用交付厂商都将 WAF 作为 代理模式 在这种模式下 通过代 中 可以很容易的扩展 DNS 服务 应用交付产品的一部分 甚至引申 理 cookie 等 技 术 可 有 效 识 别 攻 器的响应能力 通过对 DNS 报文 出专门的 WEB 安全产品来销售 击者身份 此外 应用交付产品相 的合规检查 以及 DNS 报文的速 由此可见 WEB 安全在应用交付领 比传统防火墙 IPS 具备更高的连 率控制 可以防止针对企业域名的 域的重要性 接处理能力 可以更好的保护后端 DNS flood 攻 击 而 对 DNSSEC 的服务器 的支持可以有效的防止 DNS 劫持 作为国内息安全市场的领航 者 启明辰认为 安全势必成为 应用交付领域中不可忽视的一环 越来越被重视的 DNS 安全 SSL 加密内容检测 用户在选择应用交付产品时 除了 DNS 是互联网中最基础又至 众所周知 银行的网上数据都 关注性能外 也需要更加关注交 关重要的一环 应用交付产品在做 是基于 SSL 加密的 传统的网络安 付的安全性 53