所有安全廠商都在談論APT(高級持續性威脅)，但是如何防御APT則見仁見智了。

“我們認為，全系統模擬(Full System Emulation)的沙箱(Sandbox)技術可以更為有效地幫助企業防御APT攻擊。”WatchGuard中國區市場總監萬熠如此表示。近日，記者通過采訪，了解到了WatchGuard這一全球領先的防火墻廠商對APT的理解。

APT相較于傳統的安全威脅具有針對性強、隱蔽性高等特性。明槍易躲暗箭難防，如何發現APT都非常困難，就遑論APT的防御了。據記者了解，企業中確實出現過被APT攻擊的案例，而且更為可怕的是，該企業在被攻擊后的很長時間內，都對自己被攻擊的事情一無所知。

一方面，APT攻擊的操縱者會非常有針對性的進行為期幾個月甚至更長時間的潛心準備，讓企業憑借自身力量在海量的信息中去探測發現攻擊行為幾乎是不可能的。攻擊者有可能會把惡意代碼植入到企業中防護最薄弱的終端，但不會立即發動攻擊。當一切準備就緒并鎖定重要信息后，攻擊者才會利用這條秘密通道悄無聲息地將信息轉移出去。另一方面，傳統的惡意軟件探測方式是以簽名技術為基礎的，但蠕蟲、木馬、零日(0day)漏洞為手段的攻擊形式正在向復雜性更高的APT形式過渡，傳統的安全產品正在變得毫無作為。這——正是APT的可怕之處。

“可以說，APT并不僅僅屬于網絡層面，也不僅僅屬于應用層面。從防護的角度，我們可以把看作是一系列的網絡行為。”萬熠告訴記者，所以目前安全廠商應對APT所普遍采用的是沙箱技術。通過沙箱技術來模擬一系列網絡行為所產生的后果，再通過大數據分析來判定其是不是APT攻擊。

“要更好地捕捉APT，就要進行更為底層的行為模擬。于是，WatchGuard提出了全系統模擬的解決方案。”萬熠介紹，目前的沙箱通常是某一層面進行模擬，比如對操作系統模擬。但是，如果一個惡意行為是讀取內存，那么這個模擬可能就無法察覺這樣的惡意行為。“全系統模擬的意思是從底層開始，構建從CPU、內存等硬件資源到操作系統、中間件的全系統沙箱，在這樣的模擬環境中來監測網絡行為，才能更為有效地甄別和捕獲APT。”萬熠說。

事實上，APT的攻擊目標已經從政府和大型企業的關鍵基礎設施轉向規模更小的組織和企業。這是因為，這些企業甚至是中小企業的安全防護更為薄弱，但仍然具備一定價值的數據和商業機密，所以，它們未來將成為更為廣泛的APT的攻擊對象。為了幫助中小企業用戶積極有效地應防御APT攻擊，WatchGuard在其設備中實現了“APT攔截器”功能。在全新的v11.9版本中，用戶即可以擁有實時、可視化的APT防御能力。

該方案基于WatchGuard的RED全球信譽評估云平臺，使用仿真環境，APT攻擊代碼和包含零日威脅的惡意流量將自動提交到云端沙箱中進行分析。WatchGuard全球的五大數據中心以及獨有的3大反病毒引擎并發檢測技術將最終形成安全策略發布平臺，幫助企業防范APT攻擊。

另外，WatchGuard的 Dimension日志系統將利用大數據分析技術，真正意義上幫助用戶擁有在數分鐘內發現并追蹤APT攻擊源頭能力，解決傳統技術無法識別或是需要數日時間才能預警的被動局面。

“WatchGuard近期將推出入門級企業安全防護設備T10，吞吐量為220Mbps，適用于SOHO和小型企業。即使是在這樣的設備中，我們同樣提供了全系統模擬的APT防御能力。WatchGuard的產品思路始終是集成業界最好的防御方式，并將這些能力提供給所有的WatchGuard用戶，當然這其中也包括最新的全系統模擬的APT防御能力。這是因為，無論規模大小，所有的企業都面臨著與日俱增的安全威脅，幫助這些企業抵御安全威脅是WatchGuard的責任。”萬熠說。