▲ATA攻擊解析圖
借助產(chǎn)品開發(fā)周期的概念來類比下ATA。開始于一個(gè)想法���,定義對象和需求����,包括在真正放出去使用之前會先在內(nèi)網(wǎng)和外網(wǎng)進(jìn)行測試���。 ATA有一些關(guān)鍵的步驟是很不一樣的���,比如使用社工手段。一般人很難想象只是通過簡單的搜索和資料收集就能獲得十分詳實(shí)的資料�,有時(shí)也會打給計(jì)劃要攻擊的目標(biāo)公司�,扮作其中的一個(gè)員工來找別的員工要取聯(lián)系方式等等�。另外,可以很確定的一點(diǎn)是���,ATA肯定會使用0day漏洞或者定制化攻擊程序進(jìn)行攻擊���。最后,一旦進(jìn)入到網(wǎng)絡(luò)�,目的一定是將目標(biāo)數(shù)據(jù)偷出網(wǎng)絡(luò)。肉雞通常充當(dāng)了幫助傳輸數(shù)據(jù)這個(gè)角色����。 通過判斷流程的階段,可以很容知道ATA已經(jīng)發(fā)生了一段時(shí)間了�,發(fā)生的時(shí)間不是幾天幾周,而是幾個(gè)月或幾年�,前提是他們能夠成功規(guī)避檢測。
APT演化為ATA����,之后還會有更為精巧手段,無論成為怎樣復(fù)雜的攻擊����,無論被稱為怎樣的名稱�����,我們要怎樣對付呢? 事實(shí)是不會有單一技術(shù)����,或是有顆銀彈來阻止ATA�����。 因?yàn)锳TA或者APT���,是一系列組合拳��,有很多階段�,不同階段有對應(yīng)的攻擊工具�,以及不同的攻擊方式���。一個(gè)有效的APT防御方案應(yīng)該是能夠理解整個(gè)攻擊過程的�����,然后在不同層次進(jìn)行防御�����。 Fortinet給出了“不變”的立體化的防御解決方案�����。
預(yù)防:防御的基礎(chǔ)
網(wǎng)絡(luò)防御可以專注在這三件事上:預(yù)防�,檢測和應(yīng)對。
預(yù)防要從威脅可能進(jìn)入網(wǎng)絡(luò)的第一步就開始進(jìn)行����,包括狀態(tài)防火墻、雙因子驗(yàn)證���、入侵防御�、應(yīng)用控制���、Web 過濾���、Email過濾、反病毒這要求能夠理解ATA可能用到的不同的攻擊平面���,并且確保所有的漏洞都打了補(bǔ)丁���,這能有效避免未授權(quán)的人通過漏洞或后門進(jìn)入網(wǎng)絡(luò)�。這些技術(shù)組成了預(yù)防這第一步�,這些技術(shù)組合被用來阻擋網(wǎng)絡(luò)中80%以上的惡意軟件和攻擊。
檢測:阻斷已知�����,還原未知
很多攻擊都可能是由于補(bǔ)丁未打而造成的���,可能并沒使用什么攻擊工具����,因此我們把檢測放在第二的位置���。
最近有一些論調(diào)在說反病毒已死�。在某些方面可以這么說�,前提是反病毒技術(shù)沒有發(fā)展����。
即使在今天反病毒仍然是一個(gè)對于網(wǎng)絡(luò)安全十分有價(jià)值的技術(shù),是因?yàn)楸挥脕戆l(fā)動(dòng)攻擊的大多數(shù)的病毒和惡意軟件都是已知的。
另一個(gè)反病毒技術(shù)長存的原因是操作系統(tǒng)更新的延遲以及有效部署的時(shí)間差�����。在補(bǔ)丁發(fā)布前�����,0day攻擊是有效的�����,在補(bǔ)丁發(fā)布后�����,用戶沒有及時(shí)更新補(bǔ)丁���,那么這個(gè)漏洞仍然可以被利用來進(jìn)行攻擊�。這是毫無疑問的���。
Fortinet相信反病毒仍然是安全的基石之一�����,并且也是十分有效的方法���。下面讓我們來看看為什么反病毒仍然是有效的方法?
如今PC的操作系統(tǒng)環(huán)境��,仍然有四分之一的PC運(yùn)行windows XP和Vista���,這兩個(gè)是明顯存在安全隱患的。又有多少用戶能夠及時(shí)安裝更新?尤其是那些運(yùn)行在工業(yè)環(huán)境中的PC�,以及那些ATM。
然而�����,在這些系統(tǒng)之上�,還運(yùn)行這不同版本的IE,火狐���,Java�����,F(xiàn)lash�����,PDF閱讀器����,office 等等軟件����。想必也沒人能保證這些軟件的及時(shí)更新,除非是系統(tǒng)性的進(jìn)行全部更新��。若果沒有�,那么很多老的攻擊仍然可以對新版本的軟件有效。 Fortinet的反病毒技術(shù)在VB100和AV-C測試中均獲得驕人戰(zhàn)績��,成績毫不遜色于其他專業(yè)反病毒廠商��。
下面我們在來看看檢測環(huán)節(jié)的一些其他技術(shù)�����,僵尸網(wǎng)絡(luò)檢測����、用戶信譽(yù)、網(wǎng)絡(luò)行為分析以及沙盒技術(shù)�����。
沙盒技術(shù)為什么重要?沙盒是一個(gè)虛擬容器,在這里即使是不安全的程序和文件也能被安全地分析和檢查以及虛擬執(zhí)行����。因傳統(tǒng)的安全檢查都是靜態(tài)的,比如簽名��,啟發(fā)式����,模式匹配和信譽(yù)等等,應(yīng)對越來越多的定制工具甚至0day�����,需要基于行為的動(dòng)態(tài)檢查��,由此構(gòu)成了APT防御最為重要的一環(huán)�����。
應(yīng)對策略:讓防御系統(tǒng)形成閉環(huán)
最后���,要有能夠應(yīng)對成功突破外部防線的解決方法���,要知道是從哪進(jìn)來的�����,是如何突破的防線,還要能夠知道已經(jīng)攻擊的程度���,并且如何盡量減小損失�。
應(yīng)對的措施包括日志的整合與報(bào)告���、用戶與設(shè)備隔離��、實(shí)時(shí)行為展示���、安全報(bào)表、威脅情報(bào)與威脅防御更新�����,這些都是軟的技術(shù)以及一些內(nèi)部流程來幫助在攻擊發(fā)生后進(jìn)行應(yīng)對的�,通過流程和記錄來了解攻擊從哪來,以及如何在后面發(fā)現(xiàn)他�����。然而,這其中人是重要因素����,以及威脅情報(bào)和威脅防御的更新。但是這些技術(shù)的集合如何轉(zhuǎn)化為實(shí)際的解決方案?
Fortinet 的防御解決方案正是基于剛才我們所講的三個(gè)步驟����,彼此相扣,形成一個(gè)完整的閉環(huán)����。不依靠某個(gè)產(chǎn)品或某項(xiàng)技術(shù),而是Fortinet公司的整體技術(shù)方案�。這些技術(shù)彼此整合,形成一個(gè)持續(xù)的預(yù)防�����,檢測��, 應(yīng)對的完整的防御系統(tǒng)��。
那飛塔是如何將各種技術(shù)融合到一起形成解決方案呢?
▲Fortinet APT防御解決方案
Fortinet提供的解決方案是從多個(gè)維度來進(jìn)行提供防護(hù),比如FortiGate綜合安全網(wǎng)關(guān)���,涵蓋了整個(gè)防御與檢測階段的全部技術(shù)���,輔以FortiMail郵件信息安全網(wǎng)關(guān),F(xiàn)ortiWeb Web應(yīng)用層防火墻從郵件信息的出入檢測到Web服務(wù)器的訪問防御�����、 FortiSEIM統(tǒng)一風(fēng)險(xiǎn)管理平臺���。
面對APT的攻擊,只有以上的防御技術(shù)還不足夠���,還是要依托于行為檢測和分析技術(shù)�����,F(xiàn)ortiSandbox沙盒產(chǎn)品正是提供了這些功能���,且與Fortinet的以上產(chǎn)品形成聯(lián)動(dòng)。 Fortinet APT防御解決方案從邊界到內(nèi)網(wǎng)�����,從服務(wù)器到PC端,再從已知威脅到未知威脅����,能夠提供相對全面的安全保護(hù)。
