APT对传统反病毒技术的威胁和我们的应对尝试

xljbxx

尘梦幽然 发表于 2013-3-19 21:05
好吧确实离个人比较遥远
但是对于将来我们的工作环境来说，APT攻击将会流行。因为窃取商业机密获取的暴利 ...

太专业了

九尾野狐

正因如此 我才一直使用手动型HIPS做为主要防御手段  

10495874

个人用户没什么油水！以后的病毒更趋于政治和经济，就像超级火焰病毒一样是个政府行为！最少也是个团伙！

尘梦幽然

九尾野狐 发表于 2013-3-19 22:08
正因如此 我才一直使用手动型HIPS做为主要防御手段

Flamer的行为少到可以避开目前几乎所有的行为探测。手动HIPS不一定有用（因为它可能有漏洞）。防护关键还是在于企业安全策略。

九尾野狐

尘梦幽然 发表于 2013-3-19 23:13
Flamer的行为少到可以避开目前几乎所有的行为探测。手动HIPS不一定有用（因为它保护的是系统，而Flamer篡 ...

保护系统只是手动HIPS功能的一小部分
保护、限制应用软件也是拿手好戏之一

尘梦幽然

九尾野狐 发表于 2013-3-19 23:40
保护系统只是手动HIPS功能的一小部分
保护、限制应用软件也是拿手好戏之一

嗯。可是一般规则下HIPS可用性有限。
在企业产品中的HIPS一般都是由安软公司直接代{过}{滤}理设定规则。
我想你也知道，就算伊朗做了那么严密的防护（我想他们的安全工作人员肯定比咱俩厉害更懂HIPS）的情况下Flamer和Duqu等病毒还是成功部分破坏了伊朗核设施的运作，可见HIPS可能不一定有用。具体原因我也不清楚。但是我知道这种病毒都是有很高针对性的。例如以色列情报部门肯定知道伊朗核设施用什么机制保护，他们就可以找那个软件的漏洞，直接进行穿透或者是绕开HIPS之类软件的防护规则。前者的情况已经很明显了毛豆和MD等HIPS都多少有溢出漏洞。
所以我觉得关键还是在于企业安全策略综合防护。当然HIPS等访问保护措施也必不可少。

尘梦幽然

九尾野狐 发表于 2013-3-19 23:40
保护系统只是手动HIPS功能的一小部分
保护、限制应用软件也是拿手好戏之一

嗯。可是一般规则下HIPS可用性有限。
在企业产品中的HIPS一般都是由安软公司直接代{过}{滤}理设定规则。
我想你也知道，就算伊朗做了那么严密的防护（我想他们的安全工作人员肯定比咱俩厉害更懂HIPS）的情况下Flamer和Duqu等病毒还是成功部分破坏了伊朗核设施的运作，可见HIPS可能不一定有用。具体原因我也不清楚。但是我知道这种病毒都是有很高针对性的。例如以色列情报部门肯定知道伊朗核设施用什么机制保护，他们就可以找那个软件的漏洞，直接进行穿透或者是绕开HIPS之类软件的防护规则。前者的情况已经很明显了毛豆和MD等HIPS都多少有溢出漏洞。
所以我觉得关键还是在于企业安全策略综合防护。当然HIPS等访问保护措施也必不可少。

九尾野狐

尘梦幽然 发表于 2013-3-20 00:17
嗯。可是一般规则下HIPS可用性有限。
在企业产品中的HIPS一般都是由安软公司直接代{过}{滤}理设定规则。 ...

伊朗做了那么严密的防护（我想他们的安全工作人员肯定比咱俩厉害更懂HIPS）的情况下Flamer和Duqu等病毒还是成功部分破坏了伊朗核设施的运作，可见HIPS可能不一定有用

以色列情报部门肯定知道伊朗核设施用什么机制保护，他们就可以找那个软件的漏洞，直接进行穿透或者是绕开HIPS之类软件的防护规则。


神逻辑
谁告诉你伊朗是用的HIPS防护的

尘梦幽然

10495874 发表于 2013-3-19 23:10
个人用户没什么油水！以后的病毒更趋于政治和经济，就像超级火焰病毒一样是个政府行为！最少也是个团伙！

针对个人用户的病毒木马将依然长时间存在，并且将拥有更高的攻击针对性。就像白加黑木马那样。对于一些初、中级黑客来说依然是不二之选。高级黑客可能会瞄准企业和政府。APT将日渐走进日常工作生活中。

wjcharles

不过所谓APT威胁的大都是针对企业用户，所以应该拿国内有企业级产品的厂商进行比较；卡巴、铁壳分析这么详细也是不得已而为之啊，毕竟最后还是要靠企业才能过得滋润

话说flamer这种级别的APT仍在活动的应该还有不少吧，都是跨度几年的大项目，不大可能全部销声匿迹，看哪家能先揪出来，那才是未来的看点