從城防到塔防,隨著云計算、大數據的到來,這個世界的信息安全正在轉變。今天,我們必須重視的是APT防御。
APT威脅三特性
APT(Advanced Persistent Threat)是指高級持續性威脅,包括以下三個層次:
1、高級性:是指威脅運用多種技術、非技術手段(包括釣魚、木馬、僵尸、注入、DDoS、滲透、0day、社會工程……),結合線上線下(O2O)各種手段,屬于高級別的威脅。
2、持續性:是指威脅具有極強的隱蔽能力,發現漏洞時,并不急于求成,而是非常耐心地利用它來進一步滲透。攻擊者經常會針對性地進行幾個月甚至更長時間的潛心準備,收集精確信息,熟悉網絡壞境,探測各種隱患,定位關鍵數據。
3、威脅性:竊取甚至破壞大量、核心數據,造成嚴重破壞。
Target百貨數據泄漏事件回顧
Target百貨,很多人并不陌生,也稱為塔吉特百貨, 這是美國僅次于沃爾瑪的第二大零售百貨集團,全球財富500強企業排名33,并且是標準普爾500指數成份股。這樣一家顯赫的百貨企業,曾因APT攻擊而幾乎一蹶不振。
黑客首先攻擊了Target百貨的一個做空調、暖氣的傳統供應商,這個供應商中了木馬后,黑客通過供應商的電腦登入到了Target百貨供應商Web門戶系統,通過漏洞上傳惡意的文件,于是Target百貨門戶系統就被攻破了。同時,黑客又利用了緩存竊取技術,直接獲得了管理員權限,從而可以在網絡里隨意的掃描和竊取更重要的數據。黑客不僅在POS系統上裝了惡意軟件,竊取了大約4000萬的信用卡信息。
雖然Target百貨嚴格遵循了TCI規范,將信用卡信息和用戶信息分離,但因為黑客具有管理員權限,可直接把用戶信息竊取了出來,然后通過打包的方式放到了外網的服務器上面。最終造成Target百貨7000萬條客戶個人信息、4000萬條信用卡數據被盜。 初期損失1.48億美元,最終損失達到10億美元。 CIO Beth Jacob引咎辭職。
Target百貨數據泄漏示意圖如上
正確認識APT 預防兩個誤區
Fortinet中國區技術總監譚杰總結,在信息安全策略上,必須糾正兩個誤區:
第一個是邊界安全。過去人們把資源、注意力過多的集中在了邊界安全上,認為安全首先是在內外網之間做防火墻,防火墻不行就上下一代防火墻,甚至于加WAF等,但實際上效果并不明顯,因為APT攻擊的過程中,真正穿越防火墻到達內網的那一個區間、那一個時間段是比較短暫的,可能就是一瞬間的時間,通過一次木馬或者是釣魚就進來了,剩下的大量的持續的滲透、攻擊、提升權限都是在內網當中進行的,而且最后將偷得的數據發到外部服務器是一個由內到外的東西,而通常防火墻從內到外卻是放松的,不會做過多的限制。各種統計表明,80%以上的安全問題發生在內部。因此,將80%以上的投資都放在了邊界安全的效果并不會太好。
另一方面,網絡邊界也越來越模糊,主要表現在BYOD的使用上,BYOD決定了在智能手機、平板電腦用于辦公時,一邊接3G、4G網絡,另外一邊能接無線網。但手機、平板電腦非常容易中木馬,回到單位連上無線網,病毒自然也進入到無線網里。因此,安全網絡建設已不能再單純區分外網和內網了,因為無線雖然是內網,但是它也很容易跟外網打通通道。
第二個誤區表現在將APT等同于Oday,等同于沙盒。但實際上只能說明沙盒在APT防御當中的重要性,但并非絕對。因此,整個安全防護應該是這樣一個體系。
APT綜合防御體系的五大層次
譚杰認為,APT綜合防御體系分為以下五個層次:
一是嚴密的訪問控制,將網絡不斷的做隔離、安全域和權限的劃分。
二是多層次的威脅防御,因為高級持續性威脅中,高級黑客用的攻擊手段有很多,有病毒、木馬等,相應的安全防御技術也必須跟上。
三是Oday的檢測,也就是沙盒非常有必要的,要有防御的手段。
四是安全智能,即可視化、大數據及各種安全設備之間的應集成和聯動,使得真正形成一個有機的整體。
五是管理,因為黑客有非技術手段,所以用戶需要知道如何防止這種非技術的社交手段進行安全管理。
譚杰總結出APT防御三措施:嚴密、細致和敏銳。譚杰認為:APT的本質需要不斷提升安全權限,首先黑客獲得了一個外圍的權限,比如供應商、合作伙伴、家人、朋友等,其次通過一些手段獲得普通員工的權限,攻擊不斷的擴散,接著獲得管理層權限,最后獲得超級管理員(Root)的權限。因此,企業網絡安全不僅僅存在于邊界,而需要無處不在的防火墻或者是下一代防火墻,讓任何兩臺服務器甚至兩臺虛擬機之間的訪問都應該經過嚴格的檢查和過濾。無論你是有線的交換環境還是無線的數據介入,都需要做安全檢查。另一方面,需要嚴格的身份認證,以確保只有擁有權限的訪問者才可以獲取到這些數據。
APT綜合防御體系如何進行部署?
譚杰闡述了Fortinet在APT的防御體系:
一是邊界防火墻,即無論是企業園區網、企業總部的邊界還是中小企業、數據中心,都需要做邊界防火墻建設。
二是內網防火墻,進入到內網之后,也需要劃分不同的區域,比如辦公網不同部門的區域劃分;數據中心不同內容的區域劃分或者云平臺對不同租戶的區分等等。
內網防火墻和邊界防火墻雖然統稱為防火墻,其卻有本質區別,首先內網防火墻性能更高。因為邊界相對來說網速比較慢的,可能幾百M或者是1G就已經很高,但是內網的數據由于非常龐大,幾十G甚至上百G都有可能。因此要求內網防火墻性能更高。此外,內網防火墻對斷口高度的密度要求也比較高。邊界非常簡單,一進一出就適用了,而內網可能50個、100個都不夠,可能需要用到很多的接口來做劃分。
Fortinet為了解決性能問題,研發了新一代ASIC芯片。一個芯片可達到40G的防火墻吞吐能力,而一個盒子里如果放8個芯片,便可以達到320G的性能;此外, Fortinet防火墻可以放在數據中心,如FortiGate-3000D系列,多達40*10GE接口,防火墻吞吐量高達320Gbps為,支持100GE、40GE接口。同時,Fortinet虛擬化防火墻軟件,可以運行在虛擬化的平臺上。
三是接入級安全,FortiGate可向下延伸到接入層,無論是有線接入還是無線接入,把FortiAp這樣的無線AP,跟FortiGate做一個互聯。然后便可以把2-7層的安全策略全部都下發到交換機和無線AP上去,這也就意味著在企業網里,只要把無線一連或者是你一接入無線網絡,便可以享受到全方位的保護,包括了防火墻過濾、入級防御、病毒過濾、內容過濾、應用控制、流控等一系列的安全功能。如果有一個手機在4G網上中了毒,即使在企業內部無線上網連接時, Fortinet解決方案中的無線AP就會攔截并隔離。
四是身份認證體系,這是一個認證服務器,可支持各種各樣的接口,而且可以給Windows域加上雙因子認證。
Fortinet 打造全局、快速、安全的APT綜合防御體系
據譚杰介紹,Fortinet APT綜合防御體系具有以下三大特點:
一是具有全局性,可多角度來防御APT的攻擊,包括邊界安全以及內網安全,有內網防火墻、虛擬化防火墻,安全交換的解決方案,安全無線的解決方案,甚至針對特殊應用,提供WAF應用保護。Fortinet是一個整體安全解決方案的供應商,可以提供一站式的安全服務體驗。
其次是快速性,安全問題是緊急而迫切的問題,Fortinet解決方案可快速解決問題。
第三是安全,FortiGuard Labs統計,每分鐘都會幫助全球客戶捕獲幾萬封的垃圾郵件,二十多萬的網絡入侵嘗試,每周更新的垃圾是五千萬,每天會幫助用戶防御一百個新的攻擊行為、九十多萬個新的病毒、一百多萬個新的URL,全球研發團隊每周的研發時間超過八千個小時。Fortinet已經積累了超過150TB的安全威脅樣本,整個的入侵防御規則超過了1.7萬個,認識全球超過5800個應用,有2億多的網頁收錄在Web URL庫。
京公網安備 11010502049343號