從城防到塔防,隨著云計算、大數(shù)據(jù)的到來,這個世界的信息安全正在轉(zhuǎn)變。今天,我們必須重視的是APT防御。
APT威脅三特性
APT(Advanced Persistent Threat)是指高級持續(xù)性威脅,包括以下三個層次:
1、高級性:是指威脅運用多種技術(shù)、非技術(shù)手段(包括釣魚、木馬、僵尸、注入、DDoS、滲透、0day、社會工程……),結(jié)合線上線下(O2O)各種手段,屬于高級別的威脅。
2、持續(xù)性:是指威脅具有極強(qiáng)的隱蔽能力,發(fā)現(xiàn)漏洞時,并不急于求成,而是非常耐心地利用它來進(jìn)一步滲透。攻擊者經(jīng)常會針對性地進(jìn)行幾個月甚至更長時間的潛心準(zhǔn)備,收集精確信息,熟悉網(wǎng)絡(luò)壞境,探測各種隱患,定位關(guān)鍵數(shù)據(jù)。
3、威脅性:竊取甚至破壞大量、核心數(shù)據(jù),造成嚴(yán)重破壞。
Target百貨數(shù)據(jù)泄漏事件回顧
Target百貨,很多人并不陌生,也稱為塔吉特百貨, 這是美國僅次于沃爾瑪?shù)牡诙罅闶郯儇浖瘓F(tuán),全球財富500強(qiáng)企業(yè)排名33,并且是標(biāo)準(zhǔn)普爾500指數(shù)成份股。這樣一家顯赫的百貨企業(yè),曾因APT攻擊而幾乎一蹶不振。
黑客首先攻擊了Target百貨的一個做空調(diào)、暖氣的傳統(tǒng)供應(yīng)商,這個供應(yīng)商中了木馬后,黑客通過供應(yīng)商的電腦登入到了Target百貨供應(yīng)商Web門戶系統(tǒng),通過漏洞上傳惡意的文件,于是Target百貨門戶系統(tǒng)就被攻破了。同時,黑客又利用了緩存竊取技術(shù),直接獲得了管理員權(quán)限,從而可以在網(wǎng)絡(luò)里隨意的掃描和竊取更重要的數(shù)據(jù)。黑客不僅在POS系統(tǒng)上裝了惡意軟件,竊取了大約4000萬的信用卡信息。
雖然Target百貨嚴(yán)格遵循了TCI規(guī)范,將信用卡信息和用戶信息分離,但因為黑客具有管理員權(quán)限,可直接把用戶信息竊取了出來,然后通過打包的方式放到了外網(wǎng)的服務(wù)器上面。最終造成Target百貨7000萬條客戶個人信息、4000萬條信用卡數(shù)據(jù)被盜。 初期損失1.48億美元,最終損失達(dá)到10億美元。 CIO Beth Jacob引咎辭職。
Target百貨數(shù)據(jù)泄漏示意圖如上
正確認(rèn)識APT 預(yù)防兩個誤區(qū)
Fortinet中國區(qū)技術(shù)總監(jiān)譚杰總結(jié),在信息安全策略上,必須糾正兩個誤區(qū):
第一個是邊界安全。過去人們把資源、注意力過多的集中在了邊界安全上,認(rèn)為安全首先是在內(nèi)外網(wǎng)之間做防火墻,防火墻不行就上下一代防火墻,甚至于加WAF等,但實際上效果并不明顯,因為APT攻擊的過程中,真正穿越防火墻到達(dá)內(nèi)網(wǎng)的那一個區(qū)間、那一個時間段是比較短暫的,可能就是一瞬間的時間,通過一次木馬或者是釣魚就進(jìn)來了,剩下的大量的持續(xù)的滲透、攻擊、提升權(quán)限都是在內(nèi)網(wǎng)當(dāng)中進(jìn)行的,而且最后將偷得的數(shù)據(jù)發(fā)到外部服務(wù)器是一個由內(nèi)到外的東西,而通常防火墻從內(nèi)到外卻是放松的,不會做過多的限制。各種統(tǒng)計表明,80%以上的安全問題發(fā)生在內(nèi)部。因此,將80%以上的投資都放在了邊界安全的效果并不會太好。
另一方面,網(wǎng)絡(luò)邊界也越來越模糊,主要表現(xiàn)在BYOD的使用上,BYOD決定了在智能手機(jī)、平板電腦用于辦公時,一邊接3G、4G網(wǎng)絡(luò),另外一邊能接無線網(wǎng)。但手機(jī)、平板電腦非常容易中木馬,回到單位連上無線網(wǎng),病毒自然也進(jìn)入到無線網(wǎng)里。因此,安全網(wǎng)絡(luò)建設(shè)已不能再單純區(qū)分外網(wǎng)和內(nèi)網(wǎng)了,因為無線雖然是內(nèi)網(wǎng),但是它也很容易跟外網(wǎng)打通通道。
第二個誤區(qū)表現(xiàn)在將APT等同于Oday,等同于沙盒。但實際上只能說明沙盒在APT防御當(dāng)中的重要性,但并非絕對。因此,整個安全防護(hù)應(yīng)該是這樣一個體系。
APT綜合防御體系的五大層次
譚杰認(rèn)為,APT綜合防御體系分為以下五個層次:
一是嚴(yán)密的訪問控制,將網(wǎng)絡(luò)不斷的做隔離、安全域和權(quán)限的劃分。
二是多層次的威脅防御,因為高級持續(xù)性威脅中,高級黑客用的攻擊手段有很多,有病毒、木馬等,相應(yīng)的安全防御技術(shù)也必須跟上。
三是Oday的檢測,也就是沙盒非常有必要的,要有防御的手段。
四是安全智能,即可視化、大數(shù)據(jù)及各種安全設(shè)備之間的應(yīng)集成和聯(lián)動,使得真正形成一個有機(jī)的整體。
五是管理,因為黑客有非技術(shù)手段,所以用戶需要知道如何防止這種非技術(shù)的社交手段進(jìn)行安全管理。
譚杰總結(jié)出APT防御三措施:嚴(yán)密、細(xì)致和敏銳。譚杰認(rèn)為:APT的本質(zhì)需要不斷提升安全權(quán)限,首先黑客獲得了一個外圍的權(quán)限,比如供應(yīng)商、合作伙伴、家人、朋友等,其次通過一些手段獲得普通員工的權(quán)限,攻擊不斷的擴(kuò)散,接著獲得管理層權(quán)限,最后獲得超級管理員(Root)的權(quán)限。因此,企業(yè)網(wǎng)絡(luò)安全不僅僅存在于邊界,而需要無處不在的防火墻或者是下一代防火墻,讓任何兩臺服務(wù)器甚至兩臺虛擬機(jī)之間的訪問都應(yīng)該經(jīng)過嚴(yán)格的檢查和過濾。無論你是有線的交換環(huán)境還是無線的數(shù)據(jù)介入,都需要做安全檢查。另一方面,需要嚴(yán)格的身份認(rèn)證,以確保只有擁有權(quán)限的訪問者才可以獲取到這些數(shù)據(jù)。
APT綜合防御體系如何進(jìn)行部署?
譚杰闡述了Fortinet在APT的防御體系:
一是邊界防火墻,即無論是企業(yè)園區(qū)網(wǎng)、企業(yè)總部的邊界還是中小企業(yè)、數(shù)據(jù)中心,都需要做邊界防火墻建設(shè)。
二是內(nèi)網(wǎng)防火墻,進(jìn)入到內(nèi)網(wǎng)之后,也需要劃分不同的區(qū)域,比如辦公網(wǎng)不同部門的區(qū)域劃分;數(shù)據(jù)中心不同內(nèi)容的區(qū)域劃分或者云平臺對不同租戶的區(qū)分等等。
內(nèi)網(wǎng)防火墻和邊界防火墻雖然統(tǒng)稱為防火墻,其卻有本質(zhì)區(qū)別,首先內(nèi)網(wǎng)防火墻性能更高。因為邊界相對來說網(wǎng)速比較慢的,可能幾百M或者是1G就已經(jīng)很高,但是內(nèi)網(wǎng)的數(shù)據(jù)由于非常龐大,幾十G甚至上百G都有可能。因此要求內(nèi)網(wǎng)防火墻性能更高。此外,內(nèi)網(wǎng)防火墻對斷口高度的密度要求也比較高。邊界非常簡單,一進(jìn)一出就適用了,而內(nèi)網(wǎng)可能50個、100個都不夠,可能需要用到很多的接口來做劃分。
Fortinet為了解決性能問題,研發(fā)了新一代ASIC芯片。一個芯片可達(dá)到40G的防火墻吞吐能力,而一個盒子里如果放8個芯片,便可以達(dá)到320G的性能;此外, Fortinet防火墻可以放在數(shù)據(jù)中心,如FortiGate-3000D系列,多達(dá)40*10GE接口,防火墻吞吐量高達(dá)320Gbps為,支持100GE、40GE接口。同時,F(xiàn)ortinet虛擬化防火墻軟件,可以運行在虛擬化的平臺上。
三是接入級安全,F(xiàn)ortiGate可向下延伸到接入層,無論是有線接入還是無線接入,把FortiAp這樣的無線AP,跟FortiGate做一個互聯(lián)。然后便可以把2-7層的安全策略全部都下發(fā)到交換機(jī)和無線AP上去,這也就意味著在企業(yè)網(wǎng)里,只要把無線一連或者是你一接入無線網(wǎng)絡(luò),便可以享受到全方位的保護(hù),包括了防火墻過濾、入級防御、病毒過濾、內(nèi)容過濾、應(yīng)用控制、流控等一系列的安全功能。如果有一個手機(jī)在4G網(wǎng)上中了毒,即使在企業(yè)內(nèi)部無線上網(wǎng)連接時, Fortinet解決方案中的無線AP就會攔截并隔離。
四是身份認(rèn)證體系,這是一個認(rèn)證服務(wù)器,可支持各種各樣的接口,而且可以給Windows域加上雙因子認(rèn)證。
Fortinet 打造全局、快速、安全的APT綜合防御體系
據(jù)譚杰介紹,F(xiàn)ortinet APT綜合防御體系具有以下三大特點:
一是具有全局性,可多角度來防御APT的攻擊,包括邊界安全以及內(nèi)網(wǎng)安全,有內(nèi)網(wǎng)防火墻、虛擬化防火墻,安全交換的解決方案,安全無線的解決方案,甚至針對特殊應(yīng)用,提供WAF應(yīng)用保護(hù)。Fortinet是一個整體安全解決方案的供應(yīng)商,可以提供一站式的安全服務(wù)體驗。
其次是快速性,安全問題是緊急而迫切的問題,F(xiàn)ortinet解決方案可快速解決問題。
第三是安全,F(xiàn)ortiGuard Labs統(tǒng)計,每分鐘都會幫助全球客戶捕獲幾萬封的垃圾郵件,二十多萬的網(wǎng)絡(luò)入侵嘗試,每周更新的垃圾是五千萬,每天會幫助用戶防御一百個新的攻擊行為、九十多萬個新的病毒、一百多萬個新的URL,全球研發(fā)團(tuán)隊每周的研發(fā)時間超過八千個小時。Fortinet已經(jīng)積累了超過150TB的安全威脅樣本,整個的入侵防御規(guī)則超過了1.7萬個,認(rèn)識全球超過5800個應(yīng)用,有2億多的網(wǎng)頁收錄在Web URL庫。
京公網(wǎng)安備 11010502049343號