下一代防火墙能否防御APT攻击?
APT真实存在还是噱头?
APT(Advanced Persistent Threat)高级持续性威胁无可厚非是今年信息安全业内 流行的词汇了。近期在京举行的“2013年中国互联网安全大会”,几乎所有有关网络安全的话题都会谈及到APT攻击。既然APT攻击如此“火”,那到底APT攻击是真实存在?还是噱头?
什么是APT攻击
APT(Advanced Persistent Threat)高级持续性威胁,威胁着用户网络的数据安全。APT是黑客以窃取核心资料为目的,针对客户所发动的网络攻击和侵袭行为,是一种蓄谋已久的“恶意间谍威胁”。这种行为往往经过长期的经营与策划,并具备高度的隐蔽性。APT的攻击手法,在于隐匿自己,针对特定对象,长期、有计划性和组织性地窃取数据,这种发生在数字空间的偷窃资料、搜集情报的行为,也是一种“网络间谍”的行为。
事实上,APT攻击并不是一种新的攻击行为,而是利用各种攻击手段,针对某个特定目标发起的持续性的攻击。区别于过去僵尸网络的被动攻击,APT攻击的目的性十分明确。
APT攻击一般流程
◆ 步:攻击者通过各种途径收集用户相关信息,包括从外部扫描了解信息以及从内部利用社会工程学了解相关用户信息;
◆第二步:攻击者通过包括漏洞攻击、Web攻击等各种攻击手段入侵目标系统,采用低烈度的攻击模式避免目标发现以及防御;
◆第三步:攻击者通过突破内部某一台服务器或终端电脑渗透进内部网络,进而对目标全网造成危害;
◆第四步:攻击者逐步了解全网结构及获取更高权限后锁定目标资产,进而开始对数据进行窃取或者造成其他重大侵害。
下一代防火墙如何防御APT攻击?
区别于传统的网络安全解决方案,下一代防火墙并不是割裂的分析每个攻击的行为,而是站在更高的角度审视整个攻击过程,从各个攻击步骤进行逐个击破以达到防御APT攻击的目的。
据了解,国内 家发布下一代防火墙厂商深信服科技公司的下一代防火墙(NGAF)产品能够通过对APT攻击的每一步进行防御并阻断攻击者的APT攻击,达到综合防御统一分析的效果。
深信服下一代防火墙主要通过以下几个方向对APT攻击进行抑制和防御
信息收集防御:通过WAF、IPS等模块防御具有网络行为的信息收集、弱密码探测、端口扫描、扫描软件探测等;通过敏感信息防泄漏模块防御敏感信息收集,包括用户个人信息、账号信息、密码信息等资料;通过主动扫描和被动扫描模块提前进行系统风险评估,及时对可能被利用的漏洞信息进行修复,实现事前风险防护。
入侵防御:通过WAF模块解决Web架构下SQL、XSS、Webshell等安全问题和敏感文件泄漏、目录泄漏、源代码泄漏等信息泄漏问题;通过IPS模块解决缓冲区溢出攻击、0day漏洞攻击、应用系统/操作系统漏洞等问题;
异常流量分析及防御:AV防病毒模块通过特征匹配方式定位已知病毒;恶意流量识别模块通过流量行为分析,发现多种类型的恶意流量,其中包括访问异常(IP地址、访问频率、协议类型等)、基于恶意URL、基于恶意IP地址、基于协议规范性等;
智能引擎联动:APT攻击需要多种步骤,当发现恶意行为后,智能引擎联动能够自动切断该IP的攻击,防止进一步攻击。对于内网IP发现行为异常后,隔离该主机,防止影响内网安全;
智能联动分析:深信服下一代防火墙多个安全防护模块统一生成一份安全报表,便于用户分析及了解内部安全状况,从而分析出可疑流量并协助用户解决安全问题。