五、 APT攻击防护产品推荐

　　1、Fortinet FortiSandbox APT沙盒防御解决方案

　　FortiSandbox采用沙箱虚拟分析技术，在沙箱中模拟用户环境(如复制标准的工作站)运行待检测的代码，通过分析输出结果来确认某种攻击行为。通过Fortinet更多完善的安全过滤体系，可以帮助用户提升对APT攻击的识别和防御能力，如FortiOS v4.0的DLP功能，对APT可能导致的数据泄漏进行防御;FortiOS v5.0的IP信誉系统和用户信誉系统等，不断跟踪、记录网络中已知用户和匿名用户的网络行为和安全事件，通过大量关联分析、数据挖掘为每个用户计算安全信誉值，帮助管理员及时发现网络中的安全隐患，将APT攻击消灭在萌芽期;FortiGate与FortiSandbox相结合，利用多平台沙箱检测和云扫描技术，运行未知代码和URL，发现其中的恶意行为，帮助用户识别并防御0day攻击。

　　产品官网：http://www.fortinet.com.cn/products/fortisandbox/index.html

　　产品点评：FortiSandbox本地沙箱技术即解决了有效识别和拦截APT攻击的安全防御功能，又可以满足云安全的保密性要求。FortiSandbox的主要设计原理是首先明确筛选出“黑”与“白”文件，然后扫描“灰色”文件。同时FortiSandbox支持多种部署模式(独立模式、集成模式、分布模式等)，灵活方便，可以为用户节约大量的IT成本。

　　2、启明星辰恶意代码检测引擎

　　启明星辰恶意代码检测引擎是启明星辰公司推出的真对恶意代码(含：木马、病毒、蠕虫、僵尸网络等)具有高精度检测效果的一款专用产品，该产品除了对已知的各类恶意代码具有高精度的检测效果之外，同时还可以对未知恶意代码以及利用未知漏洞(0day)传播恶意代码的行为进行高精度的检测，目前该产品是国内知名一款能够真正有效检测到未知恶意代码并能够对利用未知漏洞传播恶意代码的攻击进行有效检测的产品，其检测能力与国外非常先进的Fireeye相当，通过对未知恶意代码，利用未知漏洞传播未知恶意代码的检测，可以检测出APT攻击的核心步骤，结合人工服务，可以有效检测并分析APT攻击。

　　产品点评：通过对已知和未知恶意代码的有效检测，启明星辰恶意代码检测引擎可以有效检测出企业IT系统存在的安全威胁。同时，还可以结合人工方式通过设备检测的报警日志信息的分析，对APT攻击进行有效的场景还原与攻击溯源。

　　3、趋势科技定制化智能防御解决方案

　　趋势科技在2011年就推出了针对APT的解决方案，称为“定制化智能防御战略”(Custom Defense Strategy)。要对抗黑客针对不同的企业网络环境定制化的APT攻击，需要能够为企业现有安全基础架构量身打造的定制化防御策略来响应，以侦测、分析、加固并响应针对性攻击。

　　其中，TDA是定制化智能防御战略的核心。TDA集成网络封包、应用内容、文件过滤、云计算安全、动态模拟分析等多种检测引擎，可以在威胁生命周期的各个阶段，识别标准安全防御所无法检测的恶意内容、可疑通讯与攻击行为，从而以最低的误判率和最大的覆盖范围提供非常好的的检测，找出隐藏的威胁。

　　产品点评：趋势科技定制化智能防御解决方案将企业整个安全基础架构纳入量身打造的可适应防御中，企业可以根据自身特定环境和特定攻击者来调整此防御战略。这套解决方案整合了网络入侵防护、新一代防火墙、沙盒分析以及SIEM系统，能够提供完整的防御来对抗锁定APT攻击与进阶威胁。

　　4、McAfee ATD

　　McAfee提供了涵盖了发现、控制和修复三阶段的APT攻击防护解决方案。其核心产品是能够对高级别恶意代码进行识别的ATD(Advanced Threat Defense)产品。其他相关产品还包括McAfee的网关类产品，包括网络入侵防护NSP、下一代防火墙NGFW、Web安全网关，以及McAfee SIEM和Real Time等产品。其中，ATD产品是基于McAfee公司于2013年初收购的ValidEdge公司的技术研发的，与McAfee公司的其它安全产品构成了完整的APT攻击防护解决方案。

　　McAfee ATD 既可以作为独立的恶意软件设备进行部署，也可以无缝集成到您现有的McAfee网络安全投资(McAfee Network Security Platform 或 McAfee Web Gateway)中。文件会从现有的网络安全设备直接发送到作为网络中的代理部署的 McAfee ATD。

　　产品点评：McAfee ATD使用创新的分层方法，检测当今的隐匿零日恶意软件。它将防病毒特征码、信誉分析、实时模拟防御、深层静态分析和动态恶意软件分析(沙箱)相结合，分析恶意软件的实时行为。

　　5、翰海源星云多维度威胁预警平台

　　翰海源是国内最先专注于APT攻击检测技术研究与产品研发的公司，从2011年起就开始了APT攻击检测技术研究与产品研发，于2012年9月就推出了针对APT攻击检测的翰海源星云V1版本，2013年12月又推出了V2版本。

　　V1版主要以无签名算法检测为主，通过一些企事业单位的部署使用，获得了不错的反馈效果。V2版本中又提出了APT攻击的检测体系：无签名算法+动态行为分析+异常识别;漏洞检测+木马检测+隐蔽通道检测;

　　产品官网：http://www.vulnhunt.com/xingyun/overview/

　　产品点评：作为国内最早进行APT攻击研究的安全厂商，翰海源被业界称为中国的FireEye。翰海源也是国内最早提出针对已知和未知漏洞利用、已知和未知特种木马、已知和未知隐蔽通道关联检测应对APT攻击的厂商。该体系结构基本成为国内APT攻击检测产品的共识。

　　6、安恒信息APT攻击预警平台

　　安恒信息APT攻击预警平台由 web应用预警检测系统、邮件预警检测系统、文件预警检测系统及APT预警综合分析系统组成。

　　WEB应用预警检测系统通过对Web流量和应用进行深度检测，提供了全面的入侵防御能力。

　　邮件预警检测系统对邮件协议进行深度分析，通过对已知、未知攻击漏洞的扫描和动态分析的方式检测邮件内容及附件是否含有APT安全威胁。

　　文件预警检测系统通过对内部网络流量进行抓包分析，捕获APT攻击行为，实现APT预警。

　　APT预警综合分析系统是APT攻击预警平台的重要组成，其通过对web应用预警检测系统、邮件预警检测系统及文件预警检测系统捕捉到的信息进行综合关联分析，直观展示攻击事件的内容和意图，并提供预警及报告。

　　产品点评：作为去年底刚刚发布的新产品，安恒信息APT攻击预警平台对于APT攻击的流程和方式有一个更为清晰的认识，通过利用数据的关联性进行统一分析和展现，可以使企业IT管理人员更有效的发现真正的APT攻击。

　　7、360天眼未知威胁检测系统

　　360天眼威胁感知系统是面向政府、军队、金融、电信、能源以及其他国家大型支柱性产业企业推出的针对APT攻击与下一代未知威胁的核心检测设备，该设备通过对APT的核心攻击过程(未知病毒、未知恶意代码、特种木马、未知漏洞(0day)利用)的精确检测，实现对APT攻击的发现。同时，360天眼威胁感知系统(TSS)亦可通过与360天擎终端安全管理系统(ESS)、360天机移动终端安全管理系统联动，构建对APT攻击从发现到阻断的分级、纵深防御体系。

　　产品官网：http://b.360.cn/tianyan/

　　产品点评：2013年，360在天擎产品上集成了“非白即黑“安全策略，今年即将发布的360天眼则侧重网络边界检测。一个终端、一个网关，在辅助以360强大的数据云引擎，可以说是良好的APT防护方案。

　　8、科来APT解决方案

　　科来APT解决方案是一套完整的解决方案，涵盖了异常流量分析、动态分析和全流量回溯分析的技术。用户可以评价异常流量和动态分析技术发现网络的异常和未知的高危文件型木马，使用全流量记录设备--回溯系统来调取工具数据进行数据包级的分析，系统还具有阻断功能，可以阻断高危的会话和域名访问，保护内部用户，做到及时的止损。这样使得APT解决方案从异常发现到取证和阻断能够形成一个闭环的工作模式。

　　产品官网：http://colasoft.com.cn/solutions/solutions_apt.php

▲点击图片看大图