安全觀點｜我看APT設備

最近兩年，整個安全市場最火熱的話題莫外乎APT、威脅情報、各種感知。互聯網在加速成熟，與此同時，傳統行業也開始按耐不住了。各行業也包括各企業開始紛紛著手建立自家的安全體系（如何快速地把錢花在刀刃上呢？如何把未來一周、一月、一季度可能遇到的安全威脅檢測一遍，將漏洞一一提前修復嗎？）。

近年來，在安全投資高度火熱和漏洞管理的驅動下，「安全」的發展速度非常驚人。以金融、TMT行業為代表的企業在安全上投入的人力財力空前壯觀。隨著國際形勢的日趨複雜，政府機構、國家重要單位也開始打起精神，為保障自身網路空間安全而奮戰。

從風險管理、安全管理的角度來看，新技術、新形勢的出現，必須伴有新的安全管理體系以控制在新能力引入的同時帶來的安全風險。但，甲方公司萬不可盲目建立安全管理體系，否則，只能算是自我安慰，根本達不到預期的效果。

記得老周在去年的互聯網安全大會ISC上提到「看見是一種能力。」周老闆是個了不起的售前，這句話感動了很多甲方公司的安全管理人員。但是，有部分人理解的「看見」是各單位需要強有力的工具，去監控風險。一個像天眼的設備，一套APT引擎？這樣的理解未免有些片面，伴隨著APT新一輪的浪潮的到來，作為一個多年混在安全圈裡的諮詢顧問，我想分享以下自己對APT檢測設備的看法。

無需部署APT檢測能力的組織：

1.對於小型組織，確實沒有購買APT檢測設備的必要。如果擔心數據被盜，服務被監控，那可以做隔離；

2.無核心信息系統的組織，也沒有購買APT檢測設備的必要。因為即使被攻擊了也沒什麼；

3.無安全管理部門，或是安全成熟度很低的組織，也沒有購買APT檢測設備的必要，因為即便發現了風險，也無法徹底地處置風險；

4. 無軟體開發團隊無整改能力的（主要是軟體外包公司），也沒有購買APT檢測設備的必要，因為發現漏洞，或是被入侵的現象發生後，自己的能力無法修復；

5.所有業務都在雲端的用戶，如果雲平台自身沒有APT檢測能力，也不需要購買APT檢測設備，因為，購買的商業化產品，無法和你部署在雲端的設備耦合；

需要具有APT檢測能力的組織：

1.IT成熟度高、具有高價值資產、核心業務實現數字化、安全有專人負責、安全團隊能力強的團隊，可以考慮APT檢測設備，因為你們是APT攻擊的目標；

2.對於國家重要基礎設施、重要公共服務、重要信息系統，當然，針對這些，不論組織的成熟度如何或者是有無專業的安全團隊，購買APT檢測設備是必要的，因為APT的重點攻擊目標就是你。

當然，並不是購買了APT檢測產品就絕對安全了，漏洞如若不能及時修復的話，數據會逐漸流失。長期發展下去，公司也沒有核心資產了。因為真正的APT組織是講「出入平安」的，他們要麼是長期監控、獲取數據，要麼就是做業務破壞、進行威懾，讓攻擊的公司喪失核心競爭力。企業和公司需要建立更深層次的「安全認知」，需要看到一般人，或者是一般系統看不到的東西，有效規避風險。

問：為什麼談到APT就談沙箱，靠譜嗎？

答：沙箱固然重要，但是巧婦難為「無米」之炊。目前大部分APT使用的都是SSL加密流量（惡意JS），或者加密壓縮包惡意文件。鑒於這樣的情況，所有的APT攻擊團隊都在考慮投資與價值的回報。目前很多APT拋棄了原先的0day、木馬，取而代之的是惡意JS，惡意的JS偽裝在大量JS中，以渾水摸魚的形式接入內部網路，而沙箱只能靜態檢測，無法逐一的對JS進行沙箱操作，所以沙箱也不一定能捕捉APT攻擊。但，不可否認的是，有效的APT檢測體系應該包括沙箱、行為檢測（尤其是具備內網橫向移動的滲透模型）能力。

問：購買APT檢測平台時需要考慮哪些因素，是否和採購SOC類似呢？

答：很多年前我所在的公司在做一個SOC項目。項目期間，我對一個安全圈內資深專家 DueCare 在啟動會上說過一句話印象非常深刻！「你們公司作為SOC項目的實施方，我對你們的要求是，找一個穩定的工程師，持續的跟蹤這個項目，因為SOC就是一個工具，更重要的是一個人，幫助甲方逐步把業務可量化的策略，加以實施。」我認為APT檢測平台也一樣，只是一個工具，你需要考慮，提供商是不是有好工具（看案例、看架構、看容量、看安全背景），是不是有諮詢團隊，（因為這樣的平台落地，是需要前期大量調研和發現評估的。）是不是具有應急響應團隊，是不是具備滲透能力（非工具黨），是不是有實驗室，尤其是全球的實驗室，因為這個和樣本獲取能力，都有一定關係。

問：是不是只要能對流量分析就可以分析APT攻擊？

答：拋開如何做策略分析不講，你能夠在伴隨DDoS攻擊的情況下，把真正的黑客通過ICMP做數據回傳的動作識別出來就需要一種能力；另外還需要很多，比如VPN行為關聯，內網橫向移動特徵、加密流量處理、異常訪問基線處理等等。

個人能力有限，本次僅分享以上幾個問題，如有不對，請各位指正。

更多精彩優質內容，請關注微信公眾號：301在路上。