企業如何麵對APT攻擊的“常態化”?

信息安全行業雖然在黑暗中摸索前行,但這並不意味無法尋找正確的方向。當前,不管是出於政治、商業目的的攻擊,還是個人隱私的竊取行為,APT攻擊以其持續、多樣以及難以偵測的特性都讓業界談之色變。而隨著APT威脅進階成為“常態化”的攻擊,安全防禦的發展也到了需要轉變的時候,近日,國際數據公司(IDC)與Fortinet共同舉辦了一場網絡安全論壇,對APT攻擊的防禦,指出了新的方向。

APT攻擊為何出現“常態化”?

在網絡社交如此發達的當下,用戶毫無保留地將個人信息交給互聯網,這些信息包括年齡、性別、地域、生活狀態、態度、行蹤、興趣愛好、消費行為、健康狀況甚至是性取向。以雲計算和大數據為支撐的數據中心,給這些數據提供了超大容器,而這些遍布網絡,唾手可得的數據,又進一步為黑客借助社會工程學攻擊企業,提供了最佳跳板。

另一方麵,雲計算的商業價值也早已在業內廣泛傳播,並引起越來越多的企業決策層對其加以重視。在IDC發布的一份針對管理層競爭戰略的報告中顯示,對於企業管理者來說,在2015-2016年選擇增強競爭地位的IT技術中,雲計算“高踞榜首”。但是,隨著大量的核心數據不斷聚集於中,企業用戶不得不麵對商業機密和數據財產被黑客盜取的風險。


讓用戶擔憂的原因還來自媒體的大量報道,從Google發現係統數據被竊取,到伊朗布什爾核電站遭到 Stuxnet 蠕蟲攻擊,再到TargeteBay、索尼影視、Anthem,一係列APT事件造成的巨大損失早已廣為人知。

對此,Fortinet中國技術總監譚傑認為:“黑客對於雲計算業務的研究比用戶還要‘專心,但竊取數據才是其真實目的。隨著雲計算的快速普及,對其企業發動APT攻擊可以讓黑客獲得更高的投入產出比。以往分散式攻擊變得越來越沒有效率,黑客一定會聚焦於雲計算平台,施以專注、專業、持續的APT攻擊,以期獲取大量核心的機密數據,從而造成巨大破壞,或獲得最大化利益。這也是目前APT攻擊新常態產生的根源。”

縱深防禦戰略的基礎“零信任”

數據泄露已經在全球範圍開始泛濫,這不隻是受害企業CEOCTO辭職這麽簡單,APT攻擊的防禦意識和能力必須從現在開始。IDC研究經理王培是IT安全方麵的專家,他認為建立“縱深防禦戰略”可以有效對抗APT攻擊。這一理論來自軍事領域,首先假定攻擊不可避免,而後設置多層重疊的安全協議,減緩攻擊的過程,直至可管理、可防禦攻擊。

譚傑認為,縱深防禦戰略落地,會幫助企業構建出“更嚴密的訪問控製”以及“極細致的多重過濾”的新一代安全防護架構。

他表示:“黑客不會選擇正麵對數據中心發起攻擊,這樣會太多的暴露自己,還會付出高額的攻擊成本。分析APT攻擊原理可以發現,權限提升持續是此類攻擊的普遍特點,黑客會從社交網絡收集信息,然後選擇辦公環境中的普通員工作為進入點。這是因為在緊張的辦公環境中,很多業務人員往往無暇顧忌和分析收到的郵件是否具有威脅,從而成為整個安全鏈條中最薄弱的一環。因此必須采用‘零信任’的訪問控製。”

“零信任”大大加強了對內網訪問的防護,是Fortinet針對APT攻擊製定整體解決方案的起點,這包括部署無處不在的防火牆,如:邊界、內網、交換、無線、虛擬化和雲數據中心的SDN防火牆,與此同時對核心IT資產的訪問采用雙因子認證組合。

APT防禦的最後一塊拚圖 :安全智能

分析APT攻擊的整個過程,在這條被稱為“殺手鏈”(APT Kill Chain)的進攻路線上,黑客會采用加密、混淆、0day的方法來繞過現有的安全體係檢測,這就需要考慮多重過濾的手段。

就目前Fortinet提供的NGFW產品來看,不但支持防火牆、IPS、應用控製、WEB過濾、反病毒、反垃圾郵件、反數據泄露等一係列功能,更具有了2~7層多重過濾和沙盒分析機製。尤其是在針對0day攻擊的沙盒方麵,Fortinet推出的FortiSandbox可以跟防火牆FortiGate及反垃圾郵件FortiMail形成聯動,所有可疑的文件都會自動發給沙盒來做進一步檢測,從而發現APT攻擊的蛛絲馬跡。

不過,譚傑同時也強調,在APT防禦體係建立過程中,有時候用戶容易過度依賴沙盒技術,我們必須意識到,在這個過濾過程中,沙盒隻是其中一環,不代表全部。其他分析手段還包括FPC/FPI技術,DPI/DFI分析技術,SIEM技術,蜜網技術、以及行為分析技術等,目標都是偵測,這是APT攻擊防禦的核心。譚傑建議用戶不要走進沙盒技術的誤區,“縱深防禦戰略”所包含的內容需要體係化的思維。

 

安全威脅的不斷演進,逐步使純粹的單點防禦化為徒勞,企業需要的是全方位的安全智能。在此方麵,包括Fortinet在內的許多知名安全廠商都投入了大量精力進行研發,例如Fortinet已經推出了FortiMonitor統一風險管理平台,這款產品最擅長的就是應對跨品牌安全產品和設備環境下的管理難題,通過聚合、關聯等大數據分析方法,幫助用戶快速識別APT攻擊。

 

麵對不斷變化的網絡威脅,我們應進一步倡導跨界合作、跨品牌管理,這不僅是應對APT攻擊“新常態的方法,也將是未來安全產業發展的必由之路。

 

會議演講內容點擊下方文件可下載:


企業安全威脅的演變與TCL數據中心安全架構的進化.pdf

如何改善IT安全態勢?.pdf

Fortinet APT安全解決方案.pdf


 

關於Fortinet

Fortinet公司(飛塔信息科技(北京)有限公司)(NASDAQ:FTNT)是一家全球性的高性能網絡安全解決方案提供商,為用戶提供了廣泛且綜合的安全服務、可靠穩定的網絡與實時動態的安全保護,同時極大的簡化了用戶的IT安全體係架構。Fortinet的解決方案可靈活部署在物理與雲端的環境,應對來自網絡、應用以及移動端的安全挑戰。


如何購買

免費電話 4006005255(中國)

公司快覽

成立時間

2000

股票代碼

NASDAQ: FTNT

Fortinet IPO: Nov 2009

總部

桑尼維爾市, 加利福尼亞州
全球超過30個分公司

雇員數量

2500+
工程師數量達到50%

財報亮點

FY14收入: $770M

$1B 無債務現金流

盈利

首個產品問世

2002年5月

設備銷售總量

1,800,000+

客戶數量

220,000+客戶

市場領導者

全球 UTM 市場銷量第一

全球4大網絡安全設備廠商之一

專利技術

194已有專利

156 專利待審批

行業榮譽稱號

150+ 榮譽稱號,包括:

年度安全產品

最佳集成化安全設備

Best UTM

最佳 IPS 解決方案

中端市場排名第一

2006 年度技術先鋒

5 項ICSA 安全證書

NSS 認證(UTM)

ISO 9001 認證

公司和證券律師

Fenwick & West LLP

Mountain View, California

審計師事務所

Deloitte Touche Tohmatsu

San Jose, California