信息安全行业虽然在黑暗中摸索前行,但这并不意味无法寻找正确的方向。当前,不管是出于政治、商业目的的攻击,还是个人隐私的窃取行为,APT攻击以其持续、多样以及难以侦测的特性都让业界谈之色变。而随着APT威胁进阶成为“常态化”的攻击,安全防御的发展也到了需要转变的时候,近日,国际数据公司(IDC)与Fortinet共同举办了一场网络安全论坛,对APT攻击的防御,指出了新的方向。
APT攻击为何出现“常态化”?
在网络社交如此发达的当下,用户毫无保留地将个人信息交给互联网,这些信息包括年龄、性别、地域、生活状态、态度、行踪、兴趣爱好、消费行为、健康状况甚至是性取向。以云计算和大数据为支撑的数据中心,给这些数据提供了超大容器,而这些遍布网络,“唾手可得”的数据,又进一步为黑客借助社会工程学攻击企业,提供了最佳跳板。
另一方面,云计算的商业价值也早已在业内广泛传播,并引起越来越多的企业决策层对其加以重视。在IDC发布的一份针对管理层竞争战略的报告中显示,对于企业管理者来说,在2015-2016年选择增强竞争地位的IT技术中,云计算“高踞榜首”。但是,随着大量的核心数据不断聚集于“云”中,企业用户不得不面对商业机密和数据财产被黑客盗取的风险。
让用户担忧的原因还来自媒体的大量报道,从Google发现系统数据被窃取,到伊朗布什尔核电站遭到 Stuxnet 蠕虫攻击,再到Target、eBay、索尼影视、Anthem,一系列APT事件造成的巨大损失早已广为人知。
对此,Fortinet中国技术总监谭杰认为:“黑客对于云计算业务的研究比用户还要‘专心’,但窃取数据才是其真实目的。随着云计算的快速普及,对其企业发动APT攻击可以让黑客获得更高的投入产出比。以往分散式攻击变得越来越没有效率,黑客一定会聚焦于云计算平台,施以专注、专业、持续的APT攻击,以期获取大量核心的机密数据,从而造成巨大破坏,或获得最大化利益。这也是目前APT攻击‘新常态’产生的根源。”
纵深防御战略的基础“零信任”
数据泄露已经在全球范围开始泛滥,这不只是受害企业CEO、CTO辞职这么简单,APT攻击的防御意识和能力必须从现在开始。IDC研究经理王培是IT安全方面的专家,他认为建立“纵深防御战略”可以有效对抗APT攻击。这一理论来自军事领域,首先假定攻击不可避免,而后设置多层重叠的安全协议,减缓攻击的过程,直至可管理、可防御攻击。
谭杰认为,纵深防御战略落地,会帮助企业构建出“更严密的访问控制”以及“极细致的多重过滤”的新一代安全防护架构。
他表示:“黑客不会选择正面对数据中心发起攻击,这样会太多的暴露自己,还会付出高额的攻击成本。分析APT攻击原理可以发现,权限提升持续是此类攻击的普遍特点,黑客会从社交网络收集信息,然后选择办公环境中的普通员工作为进入点。这是因为在紧张的办公环境中,很多业务人员往往无暇顾忌和分析收到的邮件是否具有威胁,从而成为整个安全链条中最薄弱的一环。因此必须采用‘零信任’的访问控制。”
“零信任”大大加强了对内网访问的防护,是Fortinet针对APT攻击制定整体解决方案的起点,这包括部署无处不在的防火墙,如:边界、内网、交换、无线、虚拟化和云数据中心的SDN防火墙,与此同时对核心IT资产的访问采用双因子认证组合。
APT防御的最后一块拼图 :安全智能
分析APT攻击的整个过程,在这条被称为“杀手链”(APT Kill Chain)的进攻路线上,黑客会采用加密、混淆、0day的方法来绕过现有的安全体系检测,这就需要考虑多重过滤的手段。
就目前Fortinet提供的NGFW产品来看,不但支持防火墙、IPS、应用控制、WEB过滤、反病毒、反垃圾邮件、反数据泄露等一系列功能,更具有了2~7层多重过滤和沙盒分析机制。尤其是在针对0day攻击的沙盒方面,Fortinet推出的FortiSandbox可以跟防火墙FortiGate及反垃圾邮件FortiMail形成联动,所有可疑的文件都会自动发给沙盒来做进一步检测,从而发现APT攻击的蛛丝马迹。
不过,谭杰同时也强调,在APT防御体系建立过程中,有时候用户容易过度依赖沙盒技术,我们必须意识到,在这个过滤过程中,沙盒只是其中一环,不代表全部。其他分析手段还包括FPC/FPI技术,DPI/DFI分析技术,SIEM技术,蜜网技术、以及行为分析技术等,目标都是侦测,这是APT攻击防御的核心。谭杰建议用户不要走进沙盒技术的误区,“纵深防御战略”所包含的内容需要体系化的思维。
安全威胁的不断演进,逐步使纯粹的单点防御化为徒劳,企业需要的是全方位的安全智能。在此方面,包括Fortinet在内的许多知名安全厂商都投入了大量精力进行研发,例如Fortinet已经推出了FortiMonitor统一风险管理平台,这款产品最擅长的就是应对跨品牌安全产品和设备环境下的管理难题,通过聚合、关联等大数据分析方法,帮助用户快速识别APT攻击。
面对不断变化的网络威胁,我们应进一步倡导跨界合作、跨品牌管理,这不仅是应对APT攻击“新常态”的方法,也将是未来安全产业发展的必由之路。
