高級持續性威脅到針對性攻擊的演化解析

APT無疑是近幾年來最火的安全詞匯了。APT（Advanced Persistent Threats），高級持續性威脅，在過去兩三年帶動了很多的公司和產品發展，當然隨著時間的推移，這個詞也發生了一些變化，這背后，則是網絡攻擊的驅動力，更重要的是使用“威脅”這個詞不足以說明問題，因為APT帶來的是實際的攻擊，以及安全問題的發生，比如用戶數據庫泄露，基礎設施被攻擊無法正常運轉等等。

隨著攻擊針對性越來越高，APT這種威脅在如今看來應該叫ATA（Advanced Targeted Attacks）了，就是高級針對性攻擊，圍繞目標定制一系列的攻擊工具，以及前期進行資料收集進行關鍵人物的社工。下面讓我們來分解下攻擊階段。

一個攻擊基本可以分解為三個階段：傳遞、漏洞利用和執行。

傳遞是指惡意軟件是如何進入到網絡中的，不論是通過釣魚郵件還是攻擊一個網站埋下水坑。 當然，對于很多安全性較高的網絡進行攻擊時，老式的手段卻更加奏效，比如U盤，手機和平板。想象一下移動設備在一個開放且未受保護的無線網絡環境中使用，然后被某中惡意軟件感染了。如果設備再連接到企業內部WIFI網絡，這就成為了讓惡意軟件進入企業網絡的好機會，一旦進入了網絡，惡意軟件就能開始進行攻擊，比如使用前期定制好的攻擊程序，或者利用某軟件的未知漏洞，進行0day攻擊。 但是一個單一攻擊是不能叫做高級針對性攻擊的，它只是一個冗長且復雜的攻擊過程中的一步而已。

借助產品開發周期的概念來類比下ATA。開始于一個想法，定義對象和需求，包括在真正放出去使用之前會先在內網和外網進行測試。 ATA有一些關鍵的步驟是很不一樣的，比如使用社工手段。一般人很難想象只是通過簡單的搜索和資料收集就能獲得十分詳實的資料，有時也會打給計劃要攻擊的目標公司，扮作其中的一個員工來找別的員工要取聯系方式等等。另外，可以很確定的一點是，ATA肯定會使用0day漏洞或者定制化攻擊程序進行攻擊。最后，一旦進入到網絡，目的一定是將目標數據偷出網絡。肉雞通常充當了幫助傳輸數據這個角色。 通過判斷流程的階段，可以很容知道ATA已經發生了一段時間了，發生的時間不是幾天幾周，而是幾個月或幾年，前提是他們能夠成功規避檢測。

以“不變”應萬變 —— Fortinet立體化APT防御解決方案

APT演化為ATA，之后還會有更為精巧手段，無論成為怎樣復雜的攻擊，無論被稱為怎樣的名稱，我們要怎樣對付呢? 事實是不會有單一技術，或是有顆銀彈來阻止ATA。 因為ATA或者APT，是一系列組合拳，有很多階段，不同階段有對應的攻擊工具，以及不同的攻擊方式。一個有效的APT防御方案應該是能夠理解整個攻擊過程的，然后在不同層次進行防御。 Fortinet給出了“不變”的立體化的防御解決方案。

·預防：防御的基礎

網絡防御可以專注在這三件事上：預防，檢測和應對。

預防要從威脅可能進入網絡的第一步就開始進行，包括狀態防火墻、雙因子驗證、入侵防御、應用控制、Web 過濾、Email過濾、反病毒這要求能夠理解ATA可能用到的不同的攻擊平面，并且確保所有的漏洞都打了補丁，這能有效避免未授權的人通過漏洞或后門進入網絡。這些技術組成了預防這第一步，這些技術組合被用來阻擋網絡中80%以上的惡意軟件和攻擊。

·檢測：阻斷已知，還原未知

很多攻擊都可能是由于補丁未打而造成的，可能并沒使用什么攻擊工具，因此我們把檢測放在第二的位置。

最近有一些論調在說反病毒已死。在某些方面可以這么說，前提是反病毒技術沒有發展。

即使在今天反病毒仍然是一個對于網絡安全十分有價值的技術，是因為被用來發動攻擊的大多數的病毒和惡意軟件都是已知的。

另一個反病毒技術長存的原因是操作系統更新的延遲以及有效部署的時間差。在補丁發布前，0day攻擊是有效的，在補丁發布后，用戶沒有及時更新補丁，那么這個漏洞仍然可以被利用來進行攻擊。這是毫無疑問的。

Fortinet相信反病毒仍然是安全的基石之一，并且也是十分有效的方法。下面讓我們來看看為什么反病毒仍然是有效的方法？

如今PC的操作系統環境，仍然有四分之一的PC運行windows XP和Vista，這兩個是明顯存在安全隱患的。又有多少用戶能夠及時安裝更新？尤其是那些運行在工業環境中的PC，以及那些ATM。

然而，在這些系統之上，還運行這不同版本的IE，火狐，Java，Flash，PDF閱讀器，office 等等軟件。想必也沒人能保證這些軟件的及時更新，除非是系統性的進行全部更新。若果沒有，那么很多老的攻擊仍然可以對新版本的軟件有效。 Fortinet的反病毒技術在VB100和AV-C測試中均獲得驕人戰績，成績毫不遜色于其他專業反病毒廠商。

下面我們在來看看檢測環節的一些其他技術，僵尸網絡檢測、用戶信譽、網絡行為分析以及沙盒技術。

沙盒技術為什么重要？沙盒是一個虛擬容器，在這里即使是不安全的程序和文件也能被安全地分析和檢查以及虛擬執行。因傳統的安全檢查都是靜態的，比如簽名，啟發式，模式匹配和信譽等等，應對越來越多的定制工具甚至0day，需要基于行為的動態檢查，由此構成了APT防御最為重要的一環。

·應對：讓防御系統形成閉環

最后，我們要有能夠應對成功突破外部防線的解決方法，要知道是從哪進來的，是如何突破的防線，還要能夠知道已經攻擊的程度，并且如何盡量減小損失。

應對的措施包括日志的整合與報告、用戶與設備隔離、實時行為展示、安全報表、威脅情報與威脅防御更新，這些都是軟的技術以及一些內部流程來幫助在攻擊發生后進行應對的，通過流程和記錄來了解攻擊從哪來，以及如何在后面發現他。

然而，這其中人是重要因素，以及威脅情報和威脅防御的更新。

但是這些技術的集合如何轉化為實際的解決方案？

Fortinet 的防御解決方案正是基于剛才我們所講的三個步驟，彼此相扣，形成一個完整的閉環。不依靠某個產品或某項技術，而是Fortinet公司的整體技術方案。這些技術彼此整合，形成一個持續的預防，檢測， 應對的完整的防御系統。

目標就是為用戶阻擋未知威脅給企業網絡帶來的安全隱患和問題。Fortinet分布在全球的安全威脅研究團隊，能夠持續不斷地為用戶提供最新的安全情報共享及更新，將未知變為已知。 那我們是如何將各種技術融合到一起形成解決方案呢？

 Fortinet APT防御解決方案

Fortinet提供的解決方案是從多個維度來進行，比如FortiGate綜合安全網關，涵蓋了整個防御與檢測階段的全部技術，輔以FortiMail郵件信息安全網關，FortiWeb Web應用層防火墻從郵件信息的出入檢測到Web服務器的訪問防御、 FortiSEIM統一風險管理平臺。與此同時，我們還有免費的FortiClient來保護您的客戶端。這些所有的產品都可以提供強大的反病毒功能，能夠在網絡邊界的不同位置提供強大的病毒和入侵防御。由FortiGuard提供統一的安全更新服務。在用戶登錄方面，為了避免密碼破解帶來的安全隱患，Fortinet還有FortiToken令牌能夠提供雙因子認證，來加強登錄方面的安全性。

面對APT的攻擊，只有以上的防御技術還不足夠，還是要依托于行為檢測和分析技術，FortiSandbox沙盒產品正是提供了這些功能，且與Fortinet的以上產品形成聯動。 Fortinet APT防御解決方案從邊界到內網，從服務器到PC端，再從已知威脅到未知威脅，能夠提供立體化的全方位的安全保護。