暈,居然忘了貼了...8月的都快出來了
逐鹿反apt
——2023年7月安全天下事
江海客(安天實驗室)
與此同時,關於apt的各種最新訊息,也在網路上傳遞交匯。
6月29日,kaspersky宣布發現mac os x上乙個名為macontrol的後門軟體。該惡意**正在通過電子郵件附件的形式傳播,kaspersky認為它是某個apt攻擊的一部分。
7月18日,f-secure則展示了一批文件檔案,包括ms-word、ms-excel、pdf等格式,均用於apt攻擊,其中包含了漏洞利用**,可以載入要投放到計算機中的後門。
從產業界來看,新的一輪產品競跑正在出現。國內企業雖然落後了兩年,但看起來跟進的速度並不慢。
對抗apt有多種技術思路,一種是演化出類似fireeye、damballa等反病毒領域的深度分支產品,這些產品基本上是採用流量獲取與虛擬載入相結合的方法,重點在於應對格式溢位漏洞尤其是0day漏洞。國內也有瀚海源、安天等幾家公司進入了這個領域。
有趣的是,我們很難從官方**或其他公開渠道了解到相關產品的詳細端倪。反病毒產品最大的軟肋之一,在於它是一種易於獲得的資源,因此非常容易被攻擊者用於針對性的攻防對抗——惡意**作者可以一直編寫和測試直到反病毒產品失效為止。因此反apt產品對細節的諱莫如深也不難理解。
另一種思路則是以白名單思想為基礎、以私有雲為依託的解決方案,國內也有金山、江民等廠商在做類似的嘗試。這種解決方案通過安全基線的方式解決執行准入問題,是基於傳統反病毒技術基礎、但有所突破的另一種嘗試。
私有雲的問題可能與可信計算比較類似,它更多解決的是有檔案載體的可執行體安全問題,但這種思路應對非可執行檔案的威脅能力不足。此外,鑑定效果與採集能力有關,可能會遇到rootkit的挑戰。
傳統的安全裝置廠商自然也不會放棄相關的努力,他們把很多任務作放在了對長期資料的快取和對大資料的回溯分析之上。今天的0day會在某一天變成可檢測的已知漏洞,那麼,既然apt將實時對抗變成幾乎不可完成的任務,那麼能夠回溯,總比一無所知更好。預計儲存廠商對這種思路也會歡欣鼓舞。
sans安全研究機構專家rob lee則從使用者素質的角度看待問題,他認為,apt攻擊可以被阻止,但這需要企業接受一系列的訓練。他指出,財富500強已經有超過50%的企業遭到過apt攻擊,「你可以根據過去**未來。敵人不可能改變所有的手段,只要你了解了他們,就能更好地面對下一波攻擊。」
寫在2023年7月23日
酷狗隨便聽到小剛的 我的心太亂 雖然是這樣的歌名,但是我的心裡卻是一種淡淡的愉悅的感覺,正好我整理硬碟整理到php的相關的東西。照平常,我以後估計短時間內不會用到的東西,基本上還是清空的,但是這個,我還是珍而重之的,拷貝到行動硬碟去了。這一瞬間,只感覺人是怔怔的,眼前飛過很多印象。關於php學習,關...
2023年7月4日隨筆
今天休假,其實休休假無非就是在家做做大掃除,做做自己喜歡 吃的飯,聽聽周杰倫的哥而已,過得很簡單,也很幸福,就像幾個月前的那樣。本來好早就想寫寫來上海一年的總結,一直忙於加班,也就淡忘了。沒有精彩的文筆,只有內心最真的獨白。人們在忙碌的腳步中忘記了思考,我也一樣。荒野 中的人生 影評 在漫長而短暫的...
2023年 反網路攻擊行動年
我剛剛完成了為期5周的出差,與世界各地的客戶進行會面。在我整個職業生涯中,從未見過各公司ceo和董事會成員像現在這樣對資訊保安話題充滿興趣。幾乎所有談話的主題都是 我們正面臨乙個新的現實,即一種高階別的持續的智慧型化威脅。縱觀2011年,我們面臨的新現實是 一系列抓人眼球的攻擊,從對rsa的攻擊到對...