國內做APT攻擊防禦哪家公司最強?
業內人士,可恥的匿了。
要回答這個問題,首先要知道fireeye做的是什麼東西。
他起家做了個論文,叫做污點傳播理論。原理說起來很簡單,我簡單說一下,對於文檔類型的溢出檢測特別有效。
我們將磁碟上的目標文件或者網路上傳入的目標文件定義為污點,載入到內存,讀取到的內存塊就被污染,當有內存數據拷貝的時候,就將拷貝的塊也標記為被污染,寫入磁碟的時候,磁碟對應的區域也被標記為污染。
這些塊由於跟蹤了全部的拷貝過程,任何一個位元組都可以追溯到最開始的來源的對應位置。
我們知道,內存中執行和讀寫是可以識別出來的,當試圖執行到這些被標記的位置的時候,我們就知道,這個樣本是會有溢出行為的,對應的溢出點在哪。
聽起來是個簡單但是有效的模型是嗎?
有些內容不知道是不是涉密就暫時不說了,但國內做這個的,按照這個原理能商業化的好像還沒聽說過。
關於反病毒和反APT的一些評論,推薦看seak北航演講,八個小時的乾貨。
裡頭提到了,fireeye的檢出率,對於傳統類型樣本來說,大約在20%左右。
比免費開源的clamav還要低。
他在演講中振聾發聵的指出,這根本不是對傳統安全的替代。
這些新產品,彌補的是之前apt等類型不能檢出,無法進行損失檢查,不知道潛伏了多久,找不到控制伺服器等問題。
這是對傳統安全的補充,而不是替代品。
======
我沒有表述清楚我的意思。當然,這個意思我的來源最終歸功於seak。所以推薦去看北航的演講。 @張雲
1、安全是一個系統工程,系統工程的每一環節都很重要,而不是片面的強調所謂的「新思路」或者「新技術」2、防火牆或者殺毒軟體,在配置好規則或者定期升級後,是不需要人操心維護的事情的。而其他許多許多的「新技術」、「新思路」,都是強人工干預維護的。3、Fireeye的價值並不在於檢出率,而且作為一個新興的工具,也不能片面的強調檢出率。關鍵點在於他填補了什麼東西,解決了其他工具解決不了的問題。4、他的產品用於在一個已經由完整安全體系的環境下,對該環境進行進一步保障。
5、APT有沒有解,這取決於你要的是什麼。如果你要的是不中。我可以說確實沒有人能打這個包票。Of CUZ翰海源啊!有沒有常識,中國的火眼啊!
請問這樣赤裸裸地來知乎做宣傳真的好嗎?只有我一個人覺得彆扭么。只有一家做apt防禦的公司所以最好的也是你們。你問的產品確實值得尊敬,但我還是更相信安全團隊的運營才是更好的防禦apt的手段。
北京衛達安全的新理念,動態防禦體系,對apt攻擊防禦挺強的
APT方面最厲害的應該是韓海源了,其他的廠商貌似還是傳統安全廠商,還在搞FWIDSIPS,沒看見什麼新花樣。。。加油啊!
目前最牛的是衛達,舉辦了多次全球黑客挑戰賽,幾百名黑客都無法滲透,經過真正的驗證有效果,還代表回家挑戰全球黑客本傑明,創始人是被美國曝光的中國軍方頂級黑客,可以關注一下
國外莫過我大卡巴斯基,被黑客潛伏了很久都沒發現……
東巽科技
謝邀,利益相關在知乎回答問題,要有傳播知識的理念,實名反對所有一句話回答和抖機靈的回答。對應題主的提問,有以下幾點值得回答:
- 什麼是APT?
- 如何評價「對抗」APT的廠商能力?
- 用上述方法結合實際案例評價
未完,占坑。
推薦閱讀:
※現代計算機病毒,木馬的學習、實驗、分析都是在沙箱、虛擬機中運行,有沒有能夠逃逸出到宿主機的病毒?
※紀錄片《零日》中提及的網路戰會不會演變成國家間的一種新的戰鬥方式?如果會,又會產生什麼後果?
※維基解密公布CIA蜂巢(Hive)後門武器源碼(含下載)
※【安全報告】隔離網路高級威脅攻擊預警分析報告
※嗅探、中間人sql注入、反編譯--例說桌面軟體安全性問題