近三年,中国APT检测市场增速持续高于100%,其中等级保护、现网升级改造与扩容加固、态势感知这三类项目增长尤为明显, APT检测产品兼具合规与实效的双重属性,产品市场定位和应用场景已愈发明晰。
APT检测产品的市场驱动力主要可归纳为三类:
(1)事件驱动:在攻防演练方案中,基于流量侧的威胁分析和研判至关重要。APT检测产品作为流量探针和重要分析节点已成为攻防演练标配产品之一。每年的攻防演练行动都会推动APT这类实战对抗型产品的销售;
(2)自身业务需求驱动:代表行业为安全职能和行业监管部门(例如国安、公安、网信等)。在定位APT攻击和调查取证过程中,APT检测产品是其重要的技术抓手。采购APT产品的同时也存在较强的服务需求;
(3)自身安全需求驱动:对于政府机关、国防军工、运营商、能源、医疗、教育等受到APT攻击的主要目标行业,APT产品已成为必选产品之一。包括这些行业在内的态势感知平台的建设也需要集成APT监测和预警的能力。
基于对中国APT检测市场的持续关注,我们总结出了APT市场的4大发展趋势:
01
APT检测产品将成为主流的安全检测方案
无论从国标技术要求的对比来看,还是从产品功能原理和实现情况来看,APT检测产品在技术上已经实现了对传统IDS产品功能的覆盖和超越。特别是在对未知威胁和高级持续性威胁的检测和研判过程中,IDS只能依据已有特征做判断,对于0Day、高级恶意文件、远控、隐蔽隧道等行为基本没有感知能力,也不具备将单点告警信息关联在一起以更高的事件视角来判断威胁的能力。
因此,在实效成为网络安全行业新的主旋律这个背景下,IDS产品的局限性愈发明显。随着APT检测产品市场竞争强度加大(促使产品价格下探)、客户认知度提升以及合规要求升级(例如在等保2.0三级要求中已提出“实现对网络攻击特别是新型网络攻击行为的分析”),APT检测产品将逐步蚕食原有IDS市场,成为更主流、更具普适性的安全检测方案。
02
加密流量检测是区分产品能力的关键因素
在应对加密流量检测方面,APT检测产品目前主要采用解密检测或不解密检测的方式,两种方式可以说各有利弊。
如果在SSL/TLS应用上解密流量,首先会打破原有加密机制,使合法数据传输的安全性降低,其次在证书替代和网络应用支持上可能存在覆盖不全的情况。另外,大流量的卸载非常耗费计算资源,对产品整体的性能影响较大,但解密的好处是可以还原数据原始内容,这有利于检测分析工作。
不解密检测采用“加密前特征检测”+“加密后机器学习对比检测”两者结合的方式,这种方式的检测结果准确与否依赖于样本规模和训练周期。如果没有一定的积累,可能会存在较多的误报/漏报等情况。不解密检测方式无法还原原始数据和负载,分析深度上受限,但其好处是,在机器训练有素的情况下,可以不太牺牲产品性能,并在一定程度上提升检出率。在网络中加密流量占比越来越高(尤其在主要应用Web中加密流量比例已超过80%)的背景下,未来加密流量检测将是安全检测领域面临的最大问题,如何解决这一难题将是区分APT检测产品能力的关键因素。
03
在抗APT中威胁情报的重要性日益凸显
APT这类团伙作案,出于攻击成本的考虑,攻击者通常不会频繁变化攻击手法和工具,因此在攻击的特征和相似度上,其表现趋同。如果站在全球网络空间的视角上来看,定位APT攻击最重要的线索之一便是分布于全球各地的威胁情报信息,这同实际微观网络的道理是一样的,网络中部署APT检测产品,也是通过对网络流量和文件行为的分析找到类似“威胁情报”的线索并串联起整个攻击过程,最终定位攻击。因此对于识别APT这类动态、未知的高级威胁,AI、机器学习、UEBA等技术的利用固然重要,威胁情报的实时赋能也是不可或缺的,而且是高效、经济的方式。
目前国内主流产品均在强化威胁情报的能力培养和运用,无论是扩大情报范围(例如构建蜜网方案)还是在产品检测中前置情报引擎,亦或由威胁情报更新来触发对已发生事件的遍历和复查,均表明未来威胁情报将成为产品自身最重要的基础特征库,甚至在抗APT的过程中,威胁情报的重要性已经超过传统的特征检测方式。
04
构建以APT检测为核心的威胁管理体系
分析定位APT攻击是一个漫长而且浩大的工程,抛开对人的重度依赖不说,在技术检测手段上也需要更加丰富和立体化。虽然目前APT检测产品的价值已经得到客户认可,市场机遇显现,但在方案的完整性和功能细节上,仍存在较大提升空间。从目前国内产品的现状来看,各厂商均在发力推动局部功能的优化和落地,例如为了提升邮件威胁方面的检测粒度,少数厂商已推出独立的邮件威胁检测产品,部分厂商在溯源取证中可以提供单独的全流量存储设备,为二次分析和行为追踪提供完整数据支撑等。但在产品功能得到提升的同时,也存在一些没有被很好解决的问题。例如,在沙箱中文件虚拟执行的环境仍比较固化,可模拟的操作系统类型和版本有限,在一定概率上可能无法引爆恶意样本,存在执行无效的问题(部分厂商已有改善计划);在威胁分析结果的展现上逻辑分散,数据庞大,不利于阅读和理解的问题等。
随着以上这些问题不断被发现并持续被解决,一套以APT检测产品/方案为核心的威胁管理体系正在逐步被构建和完善之中,这也是在实战对抗视角下检测技术的主流发展方向,当然,在这个过程中也会蕴藏比较大的挑战,需要技术打磨和不断验证的周期。
采购建议
在APT市场上,各个厂家推出的APT检测产品由于选择的技术路线存在些许差异,导致其存在形态各有不同,不过大致上可以归纳为作为解决方案形式提供的产品组件集合和集成所有安全功能的一体机两种产品形态。这使得用户在购买APT产品时,不得不先要做“选择题”,以挑选到最佳适用的APT检测产品。在用户挑选过程中,重点应衡量以下因素。
(1)考查APT检测产品对业务场景的还原度
APT检测产品具有基于文件和数据流进行威胁检测的能力。前者的实现主要依赖沙箱,通过沙箱仿真和虚拟执行发现文件中含有的恶意威胁,后者则依赖于流量探针和流量分析来识别恶意流量。对于沙箱来说,由于实现机制和资源的制约,其可模拟的虚拟执行环境有限,往往未能覆盖到所有的业务环境。例如,市场上的多数APT检测产品仅挑选了主流运行环境进行虚拟执行。客户应检视产品和业务环境的匹配程度,查证其是否能够真实模拟使用者在业务环境中的操作,由此确保业务环境能够受到APT检测产品的保护。
(2)查证威胁情报的质量保证和更新频率
威胁情报是APT检测产品抵御高级威胁的重要依据。当检测到新的高级威胁时,APT检测产品可以通过更新防御手段,来确保其对网络的防护真正有效。好的APT检测产品通常可以访问全球知名的威胁信息共享源,或者利用经过第三方认证的信息来增强其自身的威胁情报和分析能力。同时,不断出现的高级威胁必然要求威胁情报库能够得到及时有效和源源不断的更新。在确保威胁情报质量的前提下,好的APT检测产品通常以每周,甚至每天为单位来更新其威胁情报库。因此,威胁情报的更新频率和质量保证是衡量APT检测产品的威胁情报保障能力的关键,应当在产品选择时做重点考量。
(3)确认产品与客户现有安全解决方案具备良好的兼容性与前瞻性
客户在选购APT检测产品之前,往往已经拥有了基本的网络安全保障手段(如,防火墙)。为了保护现有安全投资,选购的APT产品必须具备良好的网络兼容性,使其能够在网络当中无缝部署。同时,好的APT检测产品应当提供与其他设备的数据联动接口,以便与防火墙、终端安全设备、甚至云端进行联动,将整个网络置于APT检测产品的保护之下。同时,APT检测产品作为威胁管理体系的重要一环,未来极有可能基于APT检测产品额外部署威胁分析和威胁猎捕等产品,最终形成威胁管理的闭环,实现对网络威胁的全方位和全生命周期的监测和防御。为了实现这一目标,客户选购的APT检测产品需要具有一定的前瞻性,以便更好地融合进未来的威胁管理体系。
(4)在安全成本与预算之间找寻平衡点
当前阶段,相较于同样做威胁检测的IDS、IPS产品,APT检测产品由于包含了更多的安全能力,导致其软件研发成本和硬件成本始终居高不下。因此,预算永远是回避不了的问题。在预算有限的情况下,更需要做精打细算,在满足一定的扩展性前提下,尽量剔除不必要的软件组件开销,避免安全能力过配,造成资源的浪费。这就需要客户在了解自身安全需求的基础上,详细比较厂商产品间差异,综合选取性价比最高的产品。
评论