Fortinet眼中的 APT 攻击防御之道

发布时间:2015-07-28 09:53 作者:baojj 来源:比特网点击:加载中...次

APT攻击在近年来已经不是一个新鲜的名词，随着2013年Target百货遭遇APT攻击而导致数据泄漏事件的发生，APT所带来的严重后果再一次被人们所熟知。据了解，除了Target之外，这些年遭遇过APT攻击的还有包括Google、SONY、ebay、甚至RSA等大量知名机构。

如果您由此便认为APT攻击只是针对的大型机构和企业而中小机构可以高枕无忧，那又是大错特错了。据Gartner的调查显示：在APT攻击过程中，黑客攻击被发现前的平均潜伏时间为229天，而有 67%的受害者是被外人叫醒的。对此，Gartner给出的建议是：所有机构都必须假设自身正处在持续的安全威胁之中。

作为全球第三大网络安全公司，Fortinet认为，随着在当前的网络安全形势正在发生本质的变化，企业网络做安全建设的目标应该设定为对APT攻击进行防御。

Fortinet中国区技术总监谭杰认为：“随着云计算和大数据的普及与应用，数据正变得越来越集中、越来越具价值。这使得发动APT攻击的收益越来越大，APT攻击也正成为当下最为严重的网络安全威胁。”

Fortinet的APT 防御之道

那么，对于APT 攻击的防御，Fortinet又有何见解?近日，Fortinet在3W咖啡举行了一场APT防御解决方案的研讨会，会上谭杰首先指出了当前对于APT攻击防御所存在的两大误区：一是将防御重心放在边界安全上，二是认为APT攻击就等于0day，而沙盒即等于APT防御。谭杰表示：各种统计都表明，80%以上的安全问题都是发生在内部。而多数企业把80%以上的投资都放在了边界安全上，实际上防护效果是比较差的。而随着BYOD的逐渐盛行，无线网络也使得边界更加模糊，安全挑战更大。而尽管沙盒在APT防御中确实是非常重要的一环，但其并不是绝对的。

由此，Fortinet认为，对于APT 攻击的防御应建立起一套综合防御体系。在这一体系中，要包含严密的访问控制、多层次的威胁防御、0day的检测、安全智能以及管理等方面的因素。谭杰表示：“如何能够对APT攻击进行防御?我们总结了三个词，即严密、细致和敏锐。”

1. 更严密的访问控制

“我们认为APT的本质就是通过一些手段不断获得并提升访问权限，从而使得攻击不断扩散的一个过程。”谭杰说道。因此，无论是在边界、内网、交换机、无线，还是在虚拟化、云以及SDN层面，都需要无处不在的防火墙构建多层次的内网安全。

针对此，Fortinet可以提供边界防火墙、内网防火墙、云数据中心部署的虚拟化防火墙、SDN防火墙，以及针对接入层安全的Connect&Secure。最后，结合Fortinet的身份认证体系，可以建立起一套从内到外严密的防范体系。

2. 极细致的多重安全过滤

应对APT 攻击，还需要深入细致额安全过滤机制。对此谭杰说道：“APT攻击的整个过程中有一个专门的名词叫‘杀手链’，在此其中采用了很多种攻击技术，所以我们需要有相应的多重安全过滤手段来防止APT攻击行为的发生。”

除了利用沙盒对未知的、没有特征的威胁进行防御、以及运用SSL加密检测技术来保证无论是明文的还是密文的通寻都可以被检测得到之外，具备多种安全功能的下一代防火墙产品也是必不可少的。

据悉，Fortinet的FortiGate NGFW拥有完善的防御能力，方面支持防火墙、IPS、应用控制、外部过滤、反病毒、反垃圾文件、反数据泄露等一系列的功能，能够实现从网络二层到七层的多重的过滤。结合沙盒检测，FortiGate NGFW可以与Fortinet安全网关及FortiMail反打击邮件进行集成。而在保护最关键的Web应用方面， WAF的作用是不言而喻的，结合FortiWeb，用户亦可以在多层次上对Web攻击做良好的立体防御。

3. 敏锐的安全智能

尽管应用了诸多安全产品和安全技术，而在现实中仍有很多用户最终还遭遇了APT攻击。究其原因，便在于以上产品和技术均是单点技术，没有形成整体，亦未形成有效的防御合力。“这就好像我们人一样，尽管耳聪目明，身体也非常的强壮，但是他还需要一个指挥中心、需要一个智慧敏锐的大脑。”谭杰说道。

Gartner在一份《2020年，防范将是徒劳的》的报告中所提到的企业安全一个最重要的变化趋势便是：个体或者是单个组织的防御需要转成一种安全情报驱动的“信息共享、集体协作”的形式。

对此，Fortinet推出了FortiSIEM统一风险管理平台。该平台通过资产、漏洞、威胁三个维度量化风险，让安全管理形成闭环，通过大数据分析快速识别预警APT攻击，帮助企业第一时间发现APT攻击。由此一来，FortiSIEM补足了APT 防御体系中的最后一块拼图。

三位一体构筑全面安全体系

可以看出，Fortinet在应对APT 攻击的安全整体防御体系已具备了全局、快速、安全的整体优势。Fortinet之所以能够提供如此具备优势的整体解决方案，与其对企业安全防御的深刻理解是分不开的。

Fortinet认为，对于安全而言，软件、硬件以及安全服务三个维度是非常重要、缺一不可的。据悉，在软件层面，Fortinet有自主开发的整合‘网络+安全’的操作系统FortiOS;硬件层面上，Fortinet为防止传统的安全影响网络的吞吐、延迟性能的问题，开发了FortiASIC，并使用定制的专用ASIC芯片来提升Fortinet所有安全设备的速度;而在安全服务维度层面，Fortinet提供了FortiGuard云网络，不断的交互新的安全特征、新安全知识，提供给Fortinet全球的客户，帮助大家在第一时间发现、了解并且防御业界出现的最新安全威胁。

“我们认为这样一个从软件、硬件到服务三位一体的整体体系是没有短板的，这也是为什么Fortinet能够取得快速成长的原因所在。”谭杰说道。正是基于全球网络安全的变革基础之上，Fortinet凭借三位一体的整体体系实现了从单一的安全产品供应商转型成为一家在任何场景下都能够提供适合的解决方案的整体安全方案供应商。

截至记者发稿之时，Fortinet公布了其2015年第二季度财报，财报显示其账单收入同比增长了40%，营收同比增长了30%，创下历史新高。放眼未来，这家以技术创新及安全防御思维并重的安全公司还会为我们带来哪些惊喜，这一切值得期待。

(责任编辑：腰编辑)