APT无疑是近几年来最火的安全词汇了。APT(Advanced Persistent Threats),高级持续性威胁,在过去两三年带动了很多的公司和产品发展,当然随着时间的推移,这个词也发生了一些变化,这背后,则是网络攻击的驱动力,更重要的是使用“威胁”这个词不足以说明问题,因为APT带来的是实际的攻击,以及安全问题的发生,比如用户数据库泄露,基础设施被攻击无法正常运转等等。
随着攻击针对性越来越高,APT这种威胁在如今看来应该叫ATA(Advanced Targeted Attacks)了,就是高级针对性攻击,围绕目标定制一系列的攻击工具,以及前期进行资料收集进行关键人物的社工。下面让我们来分解下攻击阶段。
一个攻击基本可以分解为三个阶段:传递、漏洞利用和执行。传递是指恶意软件是如何进入到网络中的,不论是通过钓鱼邮件还是攻击一个网站埋下水坑。 当然,对于很多安全性较高的网络进行攻击时,老式的手段却更加奏效,比如U盘,手机和平板。想象一下移动设备在一个开放且未受保护的无线网络环境中使用,然后被某中恶意软件感染了。如果设备再连接到企业内部WIFI网络,这就成为了让恶意软件进入企业网络的好机会,一旦进入了网络,恶意软件就能开始进行攻击,比如使用前期定制好的攻击程序,或者利用某软件的未知漏洞,进行0day攻击。 但是一个单一攻击是不能叫做高级针对性攻击的,它只是一个冗长且复杂的攻击过程中的一步而已。
借助产品开发周期的概念来类比下ATA。开始于一个想法,定义对象和需求,包括在真正放出去使用之前会先在内网和外网进行测试。 ATA有一些关键的步骤是很不一样的,比如使用社工手段。一般人很难想象只是通过简单的搜索和资料收集就能获得十分详实的资料,有时也会打给计划要攻击的目标公司,扮作其中的一个员工来找别的员工要取联系方式等等。另外,可以很确定的一点是,ATA肯定会使用0day漏洞或者定制化攻击程序进行攻击。最后,一旦进入到网络,目的一定是将目标数据偷出网络。肉鸡通常充当了帮助传输数据这个角色。 通过判断流程的阶段,可以很容知道ATA已经发生了一段时间了,发生的时间不是几天几周,而是几个月或几年,前提是他们能够成功规避检测。
APT演化为ATA,之后还会有更为精巧手段,无论成为怎样复杂的攻击,无论被称为怎样的名称,我们要怎样对付呢? 事实是不会有单一技术,或是有颗银弹来阻止ATA。 因为ATA或者APT,是一系列组合拳,有很多阶段,不同阶段有对应的攻击工具,以及不同的攻击方式。一个有效的APT防御方案应该是能够理解整个攻击过程的,然后在不同层次进行防御。 Fortinet给出了“不变”的立体化的防御解决方案。
预防:防御的基础
网络防御可以专注在这三件事上:预防,检测和应对。
预防要从威胁可能进入网络的第一步就开始进行,包括状态防火墙、双因子验证、入侵防御、应用控制、Web 过滤、Email过滤、反病毒这要求能够理解ATA可能用到的不同的攻击平面,并且确保所有的漏洞都打了补丁,这能有效避免未授权的人通过漏洞或后门进入网络。这些技术组成了预防这第一步,这些技术组合被用来阻挡网络中80%以上的恶意软件和攻击。
检测:阻断已知,还原未知
很多攻击都可能是由于补丁未打而造成的,可能并没使用什么攻击工具,因此我们把检测放在第二的位置。
最近有一些论调在说反病毒已死。在某些方面可以这么说,前提是反病毒技术没有发展。
即使在今天反病毒仍然是一个对于网络安全十分有价值的技术,是因为被用来发动攻击的大多数的病毒和恶意软件都是已知的。
另一个反病毒技术长存的原因是操作系统更新的延迟以及有效部署的时间差。在补丁发布前,0day攻击是有效的,在补丁发布后,用户没有及时更新补丁,那么这个漏洞仍然可以被利用来进行攻击。这是毫无疑问的。
Fortinet相信反病毒仍然是安全的基石之一,并且也是十分有效的方法。下面让我们来看看为什么反病毒仍然是有效的方法?
如今PC的操作系统环境,仍然有四分之一的PC运行windows XP和Vista,这两个是明显存在安全隐患的。又有多少用户能够及时安装更新?尤其是那些运行在工业环境中的PC,以及那些ATM。
然而,在这些系统之上,还运行这不同版本的IE,火狐,Java,Flash,PDF阅读器,office 等等软件。想必也没人能保证这些软件的及时更新,除非是系统性的进行全部更新。若果没有,那么很多老的攻击仍然可以对新版本的软件有效。 Fortinet的反病毒技术在VB100和AV-C测试中均获得骄人战绩,成绩毫不逊色于其他专业反病毒厂商。
下面我们在来看看检测环节的一些其他技术,僵尸网络检测、用户信誉、网络行为分析以及沙盒技术。
沙盒技术为什么重要?沙盒是一个虚拟容器,在这里即使是不安全的程序和文件也能被安全地分析和检查以及虚拟执行。因传统的安全检查都是静态的,比如签名,启发式,模式匹配和信誉等等,应对越来越多的定制工具甚至0day,需要基于行为的动态检查,由此构成了APT防御最为重要的一环。
应对策略:让防御系统形成闭环
最后,要有能够应对成功突破外部防线的解决方法,要知道是从哪进来的,是如何突破的防线,还要能够知道已经攻击的程度,并且如何尽量减小损失。
应对的措施包括日志的整合与报告、用户与设备隔离、实时行为展示、安全报表、威胁情报与威胁防御更新,这些都是软的技术以及一些内部流程来帮助在攻击发生后进行应对的,通过流程和记录来了解攻击从哪来,以及如何在后面发现他。然而,这其中人是重要因素,以及威胁情报和威胁防御的更新。但是这些技术的集合如何转化为实际的解决方案?
Fortinet 的防御解决方案正是基于刚才我们所讲的三个步骤,彼此相扣,形成一个完整的闭环。不依靠某个产品或某项技术,而是Fortinet公司的整体技术方案。这些技术彼此整合,形成一个持续的预防,检测, 应对的完整的防御系统。
那飞塔是如何将各种技术融合到一起形成解决方案呢?
Fortinet提供的解决方案是从多个维度来进行提供防护,比如FortiGate综合安全网关,涵盖了整个防御与检测阶段的全部技术,辅以FortiMail邮件信息安全网关,FortiWeb Web应用层防火墙从邮件信息的出入检测到Web服务器的访问防御、 FortiSEIM统一风险管理平台。
面对APT的攻击,只有以上的防御技术还不足够,还是要依托于行为检测和分析技术,FortiSandbox沙盒产品正是提供了这些功能,且与Fortinet的以上产品形成联动。 Fortinet APT防御解决方案从边界到内网,从服务器到PC端,再从已知威胁到未知威胁,能够提供相对全面的安全保护。