APT真實存在還是噱頭?

APT(Advanced Persistent Threat)高級持續性威脅無可厚非是今年信息安全業內最流行的詞匯了。近期在京舉行的“2013年中國互聯網安全大會”，幾乎所有有關網絡安全的話題都會談及到APT攻擊。既然APT攻擊如此“火”，那到底APT攻擊是真實存在?還是噱頭?

什么是APT攻擊?

APT(Advanced Persistent Threat)高級持續性威脅，威脅著用戶網絡的數據安全。APT是黑客以竊取核心資料為目的，針對客戶所發動的網絡攻擊和侵襲行為，是一種蓄謀已久的“惡意間諜威脅”。這種行為往往經過長期的經營與策劃，并具備高度的隱蔽性。APT的攻擊手法，在于隱匿自己，針對特定對象，長期、有計劃性和組織性地竊取數據，這種發生在數字空間的偷竊資料、搜集情報的行為，也是一種“網絡間諜”的行為。

事實上，APT攻擊并不是一種新的攻擊行為，而是利用各種攻擊手段，針對某個特定目標發起的持續性的攻擊。區別于過去僵尸網絡的被動攻擊，APT攻擊的目的性十分明確。

APT攻擊一般流程

◆第一步：攻擊者通過各種途徑收集用戶相關信息，包括從外部掃描了解信息以及從內部利用社會工程學了解相關用戶信息;

◆第二步：攻擊者通過包括漏洞攻擊、Web攻擊等各種攻擊手段入侵目標系統，采用低烈度的攻擊模式避免目標發現以及防御;

◆第三步：攻擊者通過突破內部某一臺服務器或終端電腦滲透進內部網絡，進而對目標全網造成危害;

◆第四步：攻擊者逐步了解全網結構及獲取更高權限后鎖定目標資產，進而開始對數據進行竊取或者造成其他重大侵害。

下一代防火墻如何防御APT攻擊?

區別于傳統的網絡安全解決方案，下一代防火墻并不是割裂的分析每個攻擊的行為，而是站在更高的角度審視整個攻擊過程，從各個攻擊步驟進行逐個擊破以達到防御APT攻擊的目的。

據了解，國內第一家發布下一代防火墻廠商深信服科技公司的下一代防火墻(NGAF)產品能夠通過對APT攻擊的每一步進行防御并阻斷攻擊者的APT攻擊，達到綜合防御統一分析的效果。

深信服下一代防火墻主要通過以下幾個方向對APT攻擊進行抑制和防御：

信息收集防御：通過WAF、IPS等模塊防御具有網絡行為的信息收集、弱密碼探測、端口掃描、掃描軟件探測等;通過敏感信息防泄漏模塊防御敏感信息收集，包括用戶個人信息、賬號信息、密碼信息等資料;通過主動掃描和被動掃描模塊提前進行系統風險評估，及時對可能被利用的漏洞信息進行修復，實現事前風險防護。

入侵防御：通過WAF模塊解決Web架構下SQL、XSS、Webshell等安全問題和敏感文件泄漏、目錄泄漏、源代碼泄漏等信息泄漏問題;通過IPS模塊解決緩沖區溢出攻擊、0day漏洞攻擊、應用系統/操作系統漏洞等問題;

異常流量分析及防御：AV防病毒模塊通過特征匹配方式定位已知病毒;惡意流量識別模塊通過流量行為分析，發現多種類型的惡意流量，其中包括訪問異常(IP地址、訪問頻率、協議類型等)、基于惡意URL、基于惡意IP地址、基于協議規范性等;

智能引擎聯動：APT攻擊需要多種步驟，當發現惡意行為后，智能引擎聯動能夠自動切斷該IP的攻擊，防止進一步攻擊。對于內網IP發現行為異常后，隔離該主機，防止影響內網安全;

智能聯動分析：深信服下一代防火墻多個安全防護模塊統一生成一份安全報表，便于用戶分析及了解內部安全狀況，從而分析出可疑流量并協助用戶解決安全問題;