APT真實(shí)存在還是噱頭?

APT(Advanced Persistent Threat)高級(jí)持續(xù)性威脅無(wú)可厚非是今年信息安全業(yè)內(nèi)最流行的詞匯了。近期在京舉行的“2013年中國(guó)互聯(lián)網(wǎng)安全大會(huì)”，幾乎所有有關(guān)網(wǎng)絡(luò)安全的話題都會(huì)談及到APT攻擊。既然APT攻擊如此“火”，那到底APT攻擊是真實(shí)存在?還是噱頭?

什么是APT攻擊?

APT(Advanced Persistent Threat)高級(jí)持續(xù)性威脅，威脅著用戶網(wǎng)絡(luò)的數(shù)據(jù)安全。APT是黑客以竊取核心資料為目的，針對(duì)客戶所發(fā)動(dòng)的網(wǎng)絡(luò)攻擊和侵襲行為，是一種蓄謀已久的“惡意間諜威脅”。這種行為往往經(jīng)過(guò)長(zhǎng)期的經(jīng)營(yíng)與策劃，并具備高度的隱蔽性。APT的攻擊手法，在于隱匿自己，針對(duì)特定對(duì)象，長(zhǎng)期、有計(jì)劃性和組織性地竊取數(shù)據(jù)，這種發(fā)生在數(shù)字空間的偷竊資料、搜集情報(bào)的行為，也是一種“網(wǎng)絡(luò)間諜”的行為。

事實(shí)上，APT攻擊并不是一種新的攻擊行為，而是利用各種攻擊手段，針對(duì)某個(gè)特定目標(biāo)發(fā)起的持續(xù)性的攻擊。區(qū)別于過(guò)去僵尸網(wǎng)絡(luò)的被動(dòng)攻擊，APT攻擊的目的性十分明確。

APT攻擊一般流程

◆第一步：攻擊者通過(guò)各種途徑收集用戶相關(guān)信息，包括從外部掃描了解信息以及從內(nèi)部利用社會(huì)工程學(xué)了解相關(guān)用戶信息;

◆第二步：攻擊者通過(guò)包括漏洞攻擊、Web攻擊等各種攻擊手段入侵目標(biāo)系統(tǒng)，采用低烈度的攻擊模式避免目標(biāo)發(fā)現(xiàn)以及防御;

◆第三步：攻擊者通過(guò)突破內(nèi)部某一臺(tái)服務(wù)器或終端電腦滲透進(jìn)內(nèi)部網(wǎng)絡(luò)，進(jìn)而對(duì)目標(biāo)全網(wǎng)造成危害;

◆第四步：攻擊者逐步了解全網(wǎng)結(jié)構(gòu)及獲取更高權(quán)限后鎖定目標(biāo)資產(chǎn)，進(jìn)而開始對(duì)數(shù)據(jù)進(jìn)行竊取或者造成其他重大侵害。

下一代防火墻如何防御APT攻擊?

區(qū)別于傳統(tǒng)的網(wǎng)絡(luò)安全解決方案，下一代防火墻并不是割裂的分析每個(gè)攻擊的行為，而是站在更高的角度審視整個(gè)攻擊過(guò)程，從各個(gè)攻擊步驟進(jìn)行逐個(gè)擊破以達(dá)到防御APT攻擊的目的。

據(jù)了解，國(guó)內(nèi)第一家發(fā)布下一代防火墻廠商深信服科技公司的下一代防火墻(NGAF)產(chǎn)品能夠通過(guò)對(duì)APT攻擊的每一步進(jìn)行防御并阻斷攻擊者的APT攻擊，達(dá)到綜合防御統(tǒng)一分析的效果。

深信服下一代防火墻主要通過(guò)以下幾個(gè)方向?qū)PT攻擊進(jìn)行抑制和防御：

信息收集防御：通過(guò)WAF、IPS等模塊防御具有網(wǎng)絡(luò)行為的信息收集、弱密碼探測(cè)、端口掃描、掃描軟件探測(cè)等;通過(guò)敏感信息防泄漏模塊防御敏感信息收集，包括用戶個(gè)人信息、賬號(hào)信息、密碼信息等資料;通過(guò)主動(dòng)掃描和被動(dòng)掃描模塊提前進(jìn)行系統(tǒng)風(fēng)險(xiǎn)評(píng)估，及時(shí)對(duì)可能被利用的漏洞信息進(jìn)行修復(fù)，實(shí)現(xiàn)事前風(fēng)險(xiǎn)防護(hù)。

入侵防御：通過(guò)WAF模塊解決Web架構(gòu)下SQL、XSS、Webshell等安全問(wèn)題和敏感文件泄漏、目錄泄漏、源代碼泄漏等信息泄漏問(wèn)題;通過(guò)IPS模塊解決緩沖區(qū)溢出攻擊、0day漏洞攻擊、應(yīng)用系統(tǒng)/操作系統(tǒng)漏洞等問(wèn)題;

異常流量分析及防御：AV防病毒模塊通過(guò)特征匹配方式定位已知病毒;惡意流量識(shí)別模塊通過(guò)流量行為分析，發(fā)現(xiàn)多種類型的惡意流量，其中包括訪問(wèn)異常(IP地址、訪問(wèn)頻率、協(xié)議類型等)、基于惡意URL、基于惡意IP地址、基于協(xié)議規(guī)范性等;

智能引擎聯(lián)動(dòng)：APT攻擊需要多種步驟，當(dāng)發(fā)現(xiàn)惡意行為后，智能引擎聯(lián)動(dòng)能夠自動(dòng)切斷該IP的攻擊，防止進(jìn)一步攻擊。對(duì)于內(nèi)網(wǎng)IP發(fā)現(xiàn)行為異常后，隔離該主機(jī)，防止影響內(nèi)網(wǎng)安全;

智能聯(lián)動(dòng)分析：深信服下一代防火墻多個(gè)安全防護(hù)模塊統(tǒng)一生成一份安全報(bào)表，便于用戶分析及了解內(nèi)部安全狀況，從而分析出可疑流量并協(xié)助用戶解決安全問(wèn)題;