隨著互聯(lián)網(wǎng)的不斷變化與發(fā)展，安全威脅也愈發(fā)演化的更為隱秘、更高級，波及的網(wǎng)絡(luò)范圍也更為廣泛;APT(高級持續(xù)性攻擊)就是所述的這樣的攻擊行為。如我們所知，APT攻擊的突出特點(diǎn)可總結(jié)如下：

(1) 在安全滲透的縱深上，APT攻擊涵蓋了從網(wǎng)關(guān)到網(wǎng)絡(luò)中服務(wù)器區(qū)、個(gè)人電腦等接入層的各個(gè)層次。

(2) BYOD成了APT攻擊的重要突破口，而絕大多數(shù)的安全產(chǎn)品缺乏對BYOD的有效管理與保護(hù)。

(3) APT攻擊是完全意義上的混合型攻擊：涵蓋了社會工程學(xué)、病毒、0Day漏洞、木馬、注入攻擊、加密等多種新型的攻擊手段，潛伏周期長、隱蔽性極強(qiáng)。傳統(tǒng)的安全設(shè)備，單一功能的檢測手段無法防御APT。

基于以上特點(diǎn)，APT攻擊不在是單一型安全產(chǎn)品，單層防御能解決的問題，綜合性防御、多層網(wǎng)絡(luò)防御與檢測技術(shù)、本地與云端資源的調(diào)用才是防御之道。

Fortinet最新的發(fā)布的安全操作系統(tǒng)FortiOS 5.0， 基于BYOD時(shí)代的網(wǎng)絡(luò)時(shí)代的安全出發(fā)，新增150多項(xiàng)功能增加與改善，包括用戶信譽(yù)評分系統(tǒng)、BOYD安全控制與基于設(shè)備的安全策略、雙引擎的病毒掃描、全天候的終端安全保護(hù)、強(qiáng)用戶身份認(rèn)證、僵尸網(wǎng)絡(luò)的高級防護(hù)等創(chuàng)新功能模塊;輔以全面的多功能安全引擎(包括訪問控制、病毒防御、入侵防御、內(nèi)容過濾、應(yīng)用控制等)，為APT的攻擊提供了從網(wǎng)絡(luò)接入層到網(wǎng)關(guān)、從物理層到應(yīng)用層的大縱深、全面有效的安全保護(hù)方案：

1.1 通過把安全控制延伸到企業(yè)網(wǎng)絡(luò)的接入層，為APT攻擊提供縱深的保護(hù)

(1) 通過在客戶端上(包括PC、Android終端、iOS終端)安裝FortiClient5安全套件，實(shí)現(xiàn)網(wǎng)絡(luò)接入層的安全保護(hù)：

◆ 實(shí)現(xiàn)客戶端的防火墻、入侵檢測、VPN安全接入

◆客戶端的安全漏洞掃描

◆客戶端的在線及離線的接入策略強(qiáng)制

(2) 利用FortiAP，實(shí)現(xiàn)安全的無線接入

使得無線接入終端的所有流量在進(jìn)入企業(yè)的網(wǎng)絡(luò)前都經(jīng)過FortiGate的強(qiáng)大的UTM模塊的安全掃描，在無線接入層進(jìn)行APT攻擊的檢測：

1.2 BYOD的安全保護(hù)

在BYOD時(shí)代，大量的、各種各樣的終端設(shè)備開始接入網(wǎng)絡(luò)，這些安全終端的安全特性差異很大，如果一個(gè)企業(yè)或組織不能很好地管理BOYD，那么新的安全風(fēng)險(xiǎn)比如APT，就會接踵而至。

一般來說，BYOD的安全保護(hù)需要解決如下三個(gè)問題：

◆Who?(你是誰?)

◆Where?(你想訪問哪里?)

◆What?(你想訪問什么內(nèi)容?)

Fortinet的BOYD解決方案完整地覆蓋了以上的內(nèi)容：

(1) BYOD的權(quán)限控制解決Who(用戶身份)的問題：

BYOD設(shè)備類型識別與控制：FortiOS5的設(shè)備識別控制功能能識別絕大多數(shù)包括Android iOS等智能終端在內(nèi)的移動設(shè)備，并能根據(jù)設(shè)備的不同類別應(yīng)用不同安全控制策略：

(2) FortiAuthenticator(認(rèn)證服務(wù)器)與FortiToken(動態(tài)令牌)一起實(shí)現(xiàn)了統(tǒng)一接入控制與強(qiáng)身份認(rèn)證

(3) 應(yīng)用Fortinet的UTM功能模塊如防病毒、入侵檢測、數(shù)據(jù)防泄漏、Web過濾等實(shí)現(xiàn)內(nèi)容層的APT過濾。

1.3 雙引擎病毒掃描

Fortinet公司的防病毒技術(shù)結(jié)合先進(jìn)的特征和啟發(fā)式檢測引擎，提供多層次、實(shí)時(shí)防御不斷發(fā)展的新病毒、間諜軟件和其他類型的網(wǎng)頁、電子郵件、文件傳輸流量中的惡意攻擊。 FortiASIC內(nèi)容處理器，集成到FortiGate 和FortiWiFi產(chǎn)品，加速了反病毒保護(hù)的特征掃描和啟發(fā)式/ 異常檢測操作，同時(shí)擴(kuò)展了設(shè)備使用的網(wǎng)絡(luò)范圍從入門級設(shè)備到千兆核心網(wǎng)絡(luò)或數(shù)據(jù)中心平臺的使用設(shè)備。Fortinet 公司的防病毒支持基于SMTP 、POP3 、IMAP 、FTP 、HTTP、IM和P2P 協(xié)議的內(nèi)容，以及所有主要的壓縮文件格式。

此外，在FortiOS5中， Fortinet推出云端安全引擎，提供了高級反惡意軟件技術(shù)，實(shí)現(xiàn)對APT攻擊的強(qiáng)力保護(hù)：

在設(shè)備端發(fā)現(xiàn)了可疑的軟件或代碼時(shí)，F(xiàn)ortiGate把可疑文件或特征傳送FortiGuard云安全中心，云端的沙箱引擎將對其進(jìn)行徹底的掃描，如發(fā)現(xiàn)是未知的安全威脅，F(xiàn)ortiGuard將在第一時(shí)間發(fā)布新的特征庫，推送到FortiGate設(shè)備，將有效防御APT攻擊中利用0Day漏洞的安全威脅。

1.4 用戶信譽(yù)系統(tǒng)：及時(shí)發(fā)現(xiàn)APT攻擊的安全風(fēng)險(xiǎn)

FortiOS5 用戶信譽(yù)評分系統(tǒng)就是一種防御網(wǎng)絡(luò)惡意滲透過程中，及時(shí)地發(fā)現(xiàn)并防御安全威脅的方法。用戶信譽(yù)評分系統(tǒng)是一種動態(tài)技術(shù)，它從網(wǎng)絡(luò)中收集各種安全信息，進(jìn)行聚合和關(guān)聯(lián)，并將其與現(xiàn)有的安全基線做對比。網(wǎng)絡(luò)用戶的“信譽(yù)”評估，類似于銀行通過貸款申請人的信用記錄來對風(fēng)險(xiǎn)進(jìn)行評估。

用戶信譽(yù)評分主要通過如下幾個(gè)用戶活動進(jìn)行評估：

(1) 失敗的連接嘗試

失敗的連接嘗試可能意味著惡意軟件正試圖連接到一個(gè)不存在的主機(jī)，因?yàn)閻阂廛浖目刂普邽榱颂颖軝z測已修改了自己的地址。重復(fù)地連接失敗將會產(chǎn)生一個(gè)負(fù)面的評分。

(2) 應(yīng)用程序威脅

通常一臺安裝了P2P應(yīng)用的主機(jī)要比安裝了游戲程序的主機(jī)安全風(fēng)險(xiǎn)更高。雖然這兩種行為都可能有問題，但企業(yè)可對不同應(yīng)用或網(wǎng)絡(luò)行為設(shè)定不同的權(quán)重，從而獲得相應(yīng)的風(fēng)險(xiǎn)評分。

(3) 地理信息

頻繁訪問敵對國家或組織的網(wǎng)絡(luò)，可能存在較大的安全風(fēng)險(xiǎn)。當(dāng)然，這項(xiàng)功能也需要結(jié)合白名單來排除對已知站點(diǎn)的誤報(bào)。

(4) IP會話信息

一臺典型的內(nèi)網(wǎng)PC通常應(yīng)該是主動發(fā)起會話連接。如果一臺PC開始監(jiān)聽某個(gè)端口，接受來自外網(wǎng)的連接，便可被視為可疑或危險(xiǎn)的活動。

(5) 網(wǎng)站分類

訪問某些類型的網(wǎng)站，如黑客網(wǎng)站，應(yīng)被視為有風(fēng)險(xiǎn)的活動并獲得相應(yīng)的評分。

通過不斷跟蹤網(wǎng)絡(luò)使用者的行為并累計(jì)評分，安全異?；蛭ｋU(xiǎn)將被浮現(xiàn)出來，通過安全管理員的調(diào)查分析，避免嚴(yán)重安全事件的發(fā)生。用戶信譽(yù)評分系統(tǒng)也可設(shè)置報(bào)警閾值，從而在第一時(shí)間通知安全管理員，以便更好地控制和防御。

1.5 FortiOS 5的僵尸網(wǎng)絡(luò)防御的功能，實(shí)現(xiàn)了對APT攻擊的有效打擊

FortiOS 5裝備了僵尸網(wǎng)絡(luò)防御的功能，輔以云端的實(shí)時(shí)更新的IP信譽(yù)數(shù)據(jù)庫、C&C服務(wù)器IP與端口，準(zhǔn)確、及時(shí)發(fā)現(xiàn)并切斷肉雞控制的C&C網(wǎng)絡(luò)連接，實(shí)施對APT攻擊的精準(zhǔn)打擊：

1.6 全方位多功能立體防御

Fortinet有著業(yè)界最完善的UTM功能，其成熟的防病毒、入侵檢測、Web分類過濾、垃圾郵件過濾、VPN隧道的應(yīng)用層安全檢測等功能，配合以FortiGuard云安全中心的安全威脅的全球監(jiān)控，為APT攻擊的防護(hù)更是添加上一層堅(jiān)固的盾牌。