高級持續(xù)性威脅到針對性攻擊的演化解析
APT無疑是近幾年來最火的安全詞匯了。APT(Advanced Persistent Threats),高級持續(xù)性威脅,在過去兩三年帶動了很多的公司和產(chǎn)品發(fā)展,當(dāng)然隨著時(shí)間的推移,這個(gè)詞也發(fā)生了一些變化,這背后,則是網(wǎng)絡(luò)攻擊的驅(qū)動力,更重要的是使用“威脅”這個(gè)詞不足以說明問題,因?yàn)锳PT帶來的是實(shí)際的攻擊,以及安全問題的發(fā)生,比如用戶數(shù)據(jù)庫泄露,基礎(chǔ)設(shè)施被攻擊無法正常運(yùn)轉(zhuǎn)等等。
隨著攻擊針對性越來越高,APT這種威脅在如今看來應(yīng)該叫ATA(Advanced Targeted Attacks)了,就是高級針對性攻擊,圍繞目標(biāo)定制一系列的攻擊工具,以及前期進(jìn)行資料收集進(jìn)行關(guān)鍵人物的社工。下面讓我們來分解下攻擊階段。
一個(gè)攻擊基本可以分解為三個(gè)階段:傳遞、漏洞利用和執(zhí)行。
傳遞是指惡意軟件是如何進(jìn)入到網(wǎng)絡(luò)中的,不論是通過釣魚郵件還是攻擊一個(gè)網(wǎng)站埋下水坑。 當(dāng)然,對于很多安全性較高的網(wǎng)絡(luò)進(jìn)行攻擊時(shí),老式的手段卻更加奏效,比如U盤,手機(jī)和平板。想象一下移動設(shè)備在一個(gè)開放且未受保護(hù)的無線網(wǎng)絡(luò)環(huán)境中使用,然后被某中惡意軟件感染了。如果設(shè)備再連接到企業(yè)內(nèi)部WIFI網(wǎng)絡(luò),這就成為了讓惡意軟件進(jìn)入企業(yè)網(wǎng)絡(luò)的好機(jī)會,一旦進(jìn)入了網(wǎng)絡(luò),惡意軟件就能開始進(jìn)行攻擊,比如使用前期定制好的攻擊程序,或者利用某軟件的未知漏洞,進(jìn)行0day攻擊。 但是一個(gè)單一攻擊是不能叫做高級針對性攻擊的,它只是一個(gè)冗長且復(fù)雜的攻擊過程中的一步而已。
借助產(chǎn)品開發(fā)周期的概念來類比下ATA。開始于一個(gè)想法,定義對象和需求,包括在真正放出去使用之前會先在內(nèi)網(wǎng)和外網(wǎng)進(jìn)行測試。 ATA有一些關(guān)鍵的步驟是很不一樣的,比如使用社工手段。一般人很難想象只是通過簡單的搜索和資料收集就能獲得十分詳實(shí)的資料,有時(shí)也會打給計(jì)劃要攻擊的目標(biāo)公司,扮作其中的一個(gè)員工來找別的員工要取聯(lián)系方式等等。另外,可以很確定的一點(diǎn)是,ATA肯定會使用0day漏洞或者定制化攻擊程序進(jìn)行攻擊。最后,一旦進(jìn)入到網(wǎng)絡(luò),目的一定是將目標(biāo)數(shù)據(jù)偷出網(wǎng)絡(luò)。肉雞通常充當(dāng)了幫助傳輸數(shù)據(jù)這個(gè)角色。 通過判斷流程的階段,可以很容知道ATA已經(jīng)發(fā)生了一段時(shí)間了,發(fā)生的時(shí)間不是幾天幾周,而是幾個(gè)月或幾年,前提是他們能夠成功規(guī)避檢測。
以“不變”應(yīng)萬變 —— Fortinet立體化APT防御解決方案
APT演化為ATA,之后還會有更為精巧手段,無論成為怎樣復(fù)雜的攻擊,無論被稱為怎樣的名稱,我們要怎樣對付呢? 事實(shí)是不會有單一技術(shù),或是有顆銀彈來阻止ATA。 因?yàn)锳TA或者APT,是一系列組合拳,有很多階段,不同階段有對應(yīng)的攻擊工具,以及不同的攻擊方式。一個(gè)有效的APT防御方案應(yīng)該是能夠理解整個(gè)攻擊過程的,然后在不同層次進(jìn)行防御。 Fortinet給出了“不變”的立體化的防御解決方案。
·預(yù)防:防御的基礎(chǔ)
網(wǎng)絡(luò)防御可以專注在這三件事上:預(yù)防,檢測和應(yīng)對。
預(yù)防要從威脅可能進(jìn)入網(wǎng)絡(luò)的第一步就開始進(jìn)行,包括狀態(tài)防火墻、雙因子驗(yàn)證、入侵防御、應(yīng)用控制、Web 過濾、Email過濾、反病毒這要求能夠理解ATA可能用到的不同的攻擊平面,并且確保所有的漏洞都打了補(bǔ)丁,這能有效避免未授權(quán)的人通過漏洞或后門進(jìn)入網(wǎng)絡(luò)。這些技術(shù)組成了預(yù)防這第一步,這些技術(shù)組合被用來阻擋網(wǎng)絡(luò)中80%以上的惡意軟件和攻擊。
·檢測:阻斷已知,還原未知
很多攻擊都可能是由于補(bǔ)丁未打而造成的,可能并沒使用什么攻擊工具,因此我們把檢測放在第二的位置。
最近有一些論調(diào)在說反病毒已死。在某些方面可以這么說,前提是反病毒技術(shù)沒有發(fā)展。
即使在今天反病毒仍然是一個(gè)對于網(wǎng)絡(luò)安全十分有價(jià)值的技術(shù),是因?yàn)楸挥脕戆l(fā)動攻擊的大多數(shù)的病毒和惡意軟件都是已知的。
另一個(gè)反病毒技術(shù)長存的原因是操作系統(tǒng)更新的延遲以及有效部署的時(shí)間差。在補(bǔ)丁發(fā)布前,0day攻擊是有效的,在補(bǔ)丁發(fā)布后,用戶沒有及時(shí)更新補(bǔ)丁,那么這個(gè)漏洞仍然可以被利用來進(jìn)行攻擊。這是毫無疑問的。
Fortinet相信反病毒仍然是安全的基石之一,并且也是十分有效的方法。下面讓我們來看看為什么反病毒仍然是有效的方法?
如今PC的操作系統(tǒng)環(huán)境,仍然有四分之一的PC運(yùn)行windows XP和Vista,這兩個(gè)是明顯存在安全隱患的。又有多少用戶能夠及時(shí)安裝更新?尤其是那些運(yùn)行在工業(yè)環(huán)境中的PC,以及那些ATM。
然而,在這些系統(tǒng)之上,還運(yùn)行這不同版本的IE,火狐,Java,F(xiàn)lash,PDF閱讀器,office 等等軟件。想必也沒人能保證這些軟件的及時(shí)更新,除非是系統(tǒng)性的進(jìn)行全部更新。若果沒有,那么很多老的攻擊仍然可以對新版本的軟件有效。 Fortinet的反病毒技術(shù)在VB100和AV-C測試中均獲得驕人戰(zhàn)績,成績毫不遜色于其他專業(yè)反病毒廠商。
下面我們在來看看檢測環(huán)節(jié)的一些其他技術(shù),僵尸網(wǎng)絡(luò)檢測、用戶信譽(yù)、網(wǎng)絡(luò)行為分析以及沙盒技術(shù)。
沙盒技術(shù)為什么重要?沙盒是一個(gè)虛擬容器,在這里即使是不安全的程序和文件也能被安全地分析和檢查以及虛擬執(zhí)行。因傳統(tǒng)的安全檢查都是靜態(tài)的,比如簽名,啟發(fā)式,模式匹配和信譽(yù)等等,應(yīng)對越來越多的定制工具甚至0day,需要基于行為的動態(tài)檢查,由此構(gòu)成了APT防御最為重要的一環(huán)。
·應(yīng)對:讓防御系統(tǒng)形成閉環(huán)
最后,我們要有能夠應(yīng)對成功突破外部防線的解決方法,要知道是從哪進(jìn)來的,是如何突破的防線,還要能夠知道已經(jīng)攻擊的程度,并且如何盡量減小損失。
應(yīng)對的措施包括日志的整合與報(bào)告、用戶與設(shè)備隔離、實(shí)時(shí)行為展示、安全報(bào)表、威脅情報(bào)與威脅防御更新,這些都是軟的技術(shù)以及一些內(nèi)部流程來幫助在攻擊發(fā)生后進(jìn)行應(yīng)對的,通過流程和記錄來了解攻擊從哪來,以及如何在后面發(fā)現(xiàn)他。
然而,這其中人是重要因素,以及威脅情報(bào)和威脅防御的更新。
但是這些技術(shù)的集合如何轉(zhuǎn)化為實(shí)際的解決方案?
Fortinet 的防御解決方案正是基于剛才我們所講的三個(gè)步驟,彼此相扣,形成一個(gè)完整的閉環(huán)。不依靠某個(gè)產(chǎn)品或某項(xiàng)技術(shù),而是Fortinet公司的整體技術(shù)方案。這些技術(shù)彼此整合,形成一個(gè)持續(xù)的預(yù)防,檢測, 應(yīng)對的完整的防御系統(tǒng)。
目標(biāo)就是為用戶阻擋未知威脅給企業(yè)網(wǎng)絡(luò)帶來的安全隱患和問題。Fortinet分布在全球的安全威脅研究團(tuán)隊(duì),能夠持續(xù)不斷地為用戶提供最新的安全情報(bào)共享及更新,將未知變?yōu)橐阎?那我們是如何將各種技術(shù)融合到一起形成解決方案呢?
Fortinet APT防御解決方案
Fortinet提供的解決方案是從多個(gè)維度來進(jìn)行,比如FortiGate綜合安全網(wǎng)關(guān),涵蓋了整個(gè)防御與檢測階段的全部技術(shù),輔以FortiMail郵件信息安全網(wǎng)關(guān),F(xiàn)ortiWeb Web應(yīng)用層防火墻從郵件信息的出入檢測到Web服務(wù)器的訪問防御、 FortiSEIM統(tǒng)一風(fēng)險(xiǎn)管理平臺。與此同時(shí),我們還有免費(fèi)的FortiClient來保護(hù)您的客戶端。這些所有的產(chǎn)品都可以提供強(qiáng)大的反病毒功能,能夠在網(wǎng)絡(luò)邊界的不同位置提供強(qiáng)大的病毒和入侵防御。由FortiGuard提供統(tǒng)一的安全更新服務(wù)。在用戶登錄方面,為了避免密碼破解帶來的安全隱患,F(xiàn)ortinet還有FortiToken令牌能夠提供雙因子認(rèn)證,來加強(qiáng)登錄方面的安全性。
面對APT的攻擊,只有以上的防御技術(shù)還不足夠,還是要依托于行為檢測和分析技術(shù),F(xiàn)ortiSandbox沙盒產(chǎn)品正是提供了這些功能,且與Fortinet的以上產(chǎn)品形成聯(lián)動。 Fortinet APT防御解決方案從邊界到內(nèi)網(wǎng),從服務(wù)器到PC端,再從已知威脅到未知威脅,能夠提供立體化的全方位的安全保護(hù)。