信息安全行業(yè)雖然在黑暗中摸索前行，但這并不意味無(wú)法尋找正確的方向。當(dāng)前，不管是出于政治、商業(yè)目的的攻擊，還是個(gè)人隱私的竊取行為，APT攻擊以其持續(xù)、多樣以及難以偵測(cè)的特性都讓業(yè)界談之色變。而隨著APT威脅進(jìn)階成為“常態(tài)化”的攻擊，安全防御的發(fā)展也到了需要轉(zhuǎn)變的時(shí)候，近日，國(guó)際數(shù)據(jù)公司(IDC)與Fortinet共同舉辦了一場(chǎng)網(wǎng)絡(luò)安全論壇，對(duì)APT攻擊的防御，指出了新的方向。

APT攻擊為何出現(xiàn)“常態(tài)化”?

在網(wǎng)絡(luò)社交如此發(fā)達(dá)的當(dāng)下，用戶毫無(wú)保留地將個(gè)人信息交給互聯(lián)網(wǎng)，這些信息包括年齡、性別、地域、生活狀態(tài)、態(tài)度、行蹤、興趣愛好、消費(fèi)行為、健康狀況甚至是性取向。以云計(jì)算和大數(shù)據(jù)為支撐的數(shù)據(jù)中心，給這些數(shù)據(jù)提供了超大容器，而這些遍布網(wǎng)絡(luò)，“唾手可得”的數(shù)據(jù)，又進(jìn)一步為黑客借助社會(huì)工程學(xué)攻擊企業(yè)，提供了最佳跳板。

另一方面，云計(jì)算的商業(yè)價(jià)值也早已在業(yè)內(nèi)廣泛傳播，并引起越來(lái)越多的企業(yè)決策層對(duì)其加以重視。在IDC發(fā)布的一份針對(duì)管理層競(jìng)爭(zhēng)戰(zhàn)略的報(bào)告中顯示，對(duì)于企業(yè)管理者來(lái)說(shuō)，在2015-2016年選擇增強(qiáng)競(jìng)爭(zhēng)地位的IT技術(shù)中，云計(jì)算“高踞榜首”。但是，隨著大量的核心數(shù)據(jù)不斷聚集于“云”中，企業(yè)用戶不得不面對(duì)商業(yè)機(jī)密和數(shù)據(jù)財(cái)產(chǎn)被黑客盜取的風(fēng)險(xiǎn)。

讓用戶擔(dān)憂的原因還來(lái)自媒體的大量報(bào)道，從Google發(fā)現(xiàn)系統(tǒng)數(shù)據(jù)被竊取，到伊朗布什爾核電站遭到 Stuxnet 蠕蟲攻擊，再到Target、eBay、索尼影視、Anthem，一系列APT事件造成的巨大損失早已廣為人知。

對(duì)此，F(xiàn)ortinet中國(guó)技術(shù)總監(jiān)譚杰認(rèn)為：“黑客對(duì)于云計(jì)算業(yè)務(wù)的研究比用戶還要‘專心’，但竊取數(shù)據(jù)才是其真實(shí)目的。隨著云計(jì)算的快速普及，對(duì)其企業(yè)發(fā)動(dòng)APT攻擊可以讓黑客獲得更高的投入產(chǎn)出比。以往分散式攻擊變得越來(lái)越?jīng)]有效率，黑客一定會(huì)聚焦于云計(jì)算平臺(tái)，施以專注、專業(yè)、持續(xù)的APT攻擊，以期獲取大量核心的機(jī)密數(shù)據(jù)，從而造成巨大破壞，或獲得最大化利益。這也是目前APT攻擊‘新常態(tài)’產(chǎn)生的根源。”

縱深防御戰(zhàn)略的基礎(chǔ)“零信任”

數(shù)據(jù)泄露已經(jīng)在全球范圍開始泛濫，這不只是受害企業(yè)CEO、CTO辭職這么簡(jiǎn)單，APT攻擊的防御意識(shí)和能力必須從現(xiàn)在開始。IDC研究經(jīng)理王培是IT安全方面的專家，他認(rèn)為建立“縱深防御戰(zhàn)略”可以有效對(duì)抗APT攻擊。這一理論來(lái)自軍事領(lǐng)域，首先假定攻擊不可避免，而后設(shè)置多層重疊的安全協(xié)議，減緩攻擊的過程，直至可管理、可防御攻擊。

譚杰認(rèn)為，縱深防御戰(zhàn)略落地，會(huì)幫助企業(yè)構(gòu)建出“更嚴(yán)密的訪問控制”以及“極細(xì)致的多重過濾”的新一代安全防護(hù)架構(gòu)。

他表示：“黑客不會(huì)選擇正面對(duì)數(shù)據(jù)中心發(fā)起攻擊，這樣會(huì)太多的暴露自己，還會(huì)付出高額的攻擊成本。分析APT攻擊原理可以發(fā)現(xiàn)，權(quán)限提升持續(xù)是此類攻擊的普遍特點(diǎn)，黑客會(huì)從社交網(wǎng)絡(luò)收集信息，然后選擇辦公環(huán)境中的普通員工作為進(jìn)入點(diǎn)。這是因?yàn)樵诰o張的辦公環(huán)境中，很多業(yè)務(wù)人員往往無(wú)暇顧忌和分析收到的郵件是否具有威脅，從而成為整個(gè)安全鏈條中最薄弱的一環(huán)。因此必須采用‘零信任’的訪問控制。”

“零信任”大大加強(qiáng)了對(duì)內(nèi)網(wǎng)訪問的防護(hù)，是Fortinet針對(duì)APT攻擊制定整體解決方案的起點(diǎn)，這包括部署無(wú)處不在的防火墻，如：邊界、內(nèi)網(wǎng)、交換、無(wú)線、虛擬化和云數(shù)據(jù)中心的SDN防火墻，與此同時(shí)對(duì)核心IT資產(chǎn)的訪問采用雙因子認(rèn)證組合。

APT防御的最后一塊拼圖 ：安全智能

分析APT攻擊的整個(gè)過程，在這條被稱為“殺手鏈”(APT Kill Chain)的進(jìn)攻路線上，黑客會(huì)采用加密、混淆、0day的方法來(lái)繞過現(xiàn)有的安全體系檢測(cè)，這就需要考慮多重過濾的手段。

就目前Fortinet提供的NGFW產(chǎn)品來(lái)看，不但支持防火墻、IPS、應(yīng)用控制、WEB過濾、反病毒、反垃圾郵件、反數(shù)據(jù)泄露等一系列功能，更具有了2~7層多重過濾和沙盒分析機(jī)制。尤其是在針對(duì)0day攻擊的沙盒方面，F(xiàn)ortinet推出的FortiSandbox可以跟防火墻FortiGate及反垃圾郵件FortiMail形成聯(lián)動(dòng)，所有可疑的文件都會(huì)自動(dòng)發(fā)給沙盒來(lái)做進(jìn)一步檢測(cè)，從而發(fā)現(xiàn)APT攻擊的蛛絲馬跡。

不過，譚杰同時(shí)也強(qiáng)調(diào)，在APT防御體系建立過程中，有時(shí)候用戶容易過度依賴沙盒技術(shù)，我們必須意識(shí)到，在這個(gè)過濾過程中，沙盒只是其中一環(huán)，不代表全部。其他分析手段還包括FPC/FPI技術(shù)，DPI/DFI分析技術(shù)，SIEM技術(shù)，蜜網(wǎng)技術(shù)、以及行為分析技術(shù)等，目標(biāo)都是偵測(cè)，這是APT攻擊防御的核心。譚杰建議用戶不要走進(jìn)沙盒技術(shù)的誤區(qū)，“縱深防御戰(zhàn)略”所包含的內(nèi)容需要體系化的思維。

安全威脅的不斷演進(jìn)，逐步使純粹的單點(diǎn)防御化為徒勞，企業(yè)需要的是全方位的安全智能。在此方面，包括Fortinet在內(nèi)的許多知名安全廠商都投入了大量精力進(jìn)行研發(fā)，例如Fortinet已經(jīng)推出了FortiMonitor統(tǒng)一風(fēng)險(xiǎn)管理平臺(tái)，這款產(chǎn)品最擅長(zhǎng)的就是應(yīng)對(duì)跨品牌安全產(chǎn)品和設(shè)備環(huán)境下的管理難題，通過聚合、關(guān)聯(lián)等大數(shù)據(jù)分析方法，幫助用戶快速識(shí)別APT攻擊。

面對(duì)不斷變化的網(wǎng)絡(luò)威脅，我們應(yīng)進(jìn)一步倡導(dǎo)跨界合作、跨品牌管理，這不僅是應(yīng)對(duì)APT攻擊“新常態(tài)”的方法，也將是未來(lái)安全產(chǎn)業(yè)發(fā)展的必由之路。