来源:蜘蛛抓取(WebSpider)
时间:2017-11-05 06:07
标签:
apt是高级可持续攻击
非人类的方式,而APT攻击是一种人类的攻击方式,;在这个时候我们如何去做?;第一,要做深层次的访问,像洋葱一样,这时候我想到;第二,要做全方位的检测,即使是正常人发过来的邮件;第三,做管理可视化,APT攻击通过设备攻击人的方;第四,自进化的安全,APT攻击里面最重要的,为什;这就是WatchGuard对APT攻击的四个重要;首先WatchGuard有自己的域
非人类的方式,而APT攻击是一种人类的攻击方式,它利用社交网络,利用人、利用人的心理跟你打交道,利用你不知道的工具来获取你的资源,达到进入我们系统的目的。
在这个时候我们如何去做?
第一,要做深层次的访问,像洋葱一样,这时候我想到一首歌《洋葱歌》,包括我的接入层面有什么,谁接进来的。
第二,要做全方位的检测,即使是正常人发过来的邮件都要进行检测,从第一步杜绝了APT攻击源的方式。
第三,做管理可视化,APT攻击通过设备攻击人的方式获取代码和获取权限,最后达到获取系统资源的目的,实际上在网内一步一步做痕迹了,我要做可视化管理。
第四,自进化的安全,APT攻击里面最重要的,为什么他发过来的邮件明明有恶意代码,我们防病毒软件查不出来,为什么有攻击行为我们查不出来,所以说对于我们的安全设备依然要比它进化的更快,要在攻击发现的时候就有防御能力,最小化解决APT攻击的能力。
这就是WatchGuard对APT攻击的四个重要方面。大家说你怎么去进化呢?这个问题提的很好,数据、大数据时代,不是去谈的,是用的,下面就分享WatchGuard在全球大数据自己的应用,如何应用大数据来反击大数据的攻击。
首先WatchGuard有自己的域名,我们叫WatchGuard RED,WatchGuard的标识都是红色的,第二RED是安全信誉的缩写。在WatchGuard RED安全云的情况下,我们在全球WatchGuard的产品在搜集我们的攻击样本,搜集完会上传到全球的五个数据中心进行分析,分析完以后提取样本和攻击行为,然后做应用识别,形成全球的策略发布平台,实时向全球的所有的WatchGuard用户发布网络安全的特征,来实现防范于未然、人类的攻击。
这就形成一种正态的循环,这就是WatchGuard对于大数据的最佳安全实践,我们有自己的云,我们在云做自己安全数据的分析、挖掘,之后我们会把云上的数据下发到我们终端上,实际上在这里面有一点我们没写到,WatchGuard里面安全设备是有BYOD,大家说为什么这么去做,其实WatchGuard,或者是管理软件有一个功能,叫管理配置,原来我们保存配置放在U盘,或者是本机,现在什么都不需要,我们提供了一个云平台空间,每个用户有自己的空间,提供配置上传到配置空间中,使用任何电脑通过安全策略,或者是VPN接入控制台,把他的配置平台下载到我们的空间,就导入了安全管理,这就是WatchGuard对大数据、BYOD一个实实在在的应用。
从终端的接入到网络的保护,到计算介质、到网络、终端接入WatchGuard可以提供全面的解决方案,包括像我们说的在网络终端上可以做无线的安全,保护我们最后一面,做访问策略、身份认证、VPN、BYOD,在网络上可以防火墙、访问安全,在结算机智可以做主机防病毒、虚拟化的安全、在业务上可以做负载均衡、应用加密、应用代理;在数据上可以做内容过虑、数据防迁移,外部应用安全、数据加密,这些都依赖于都可以通过WatchGuard整个安全产品来进行解决和提供。这些都是WatchGuard在全面的保障大数据时代能够做的工作和产品解决方案所能提供的一些产品。
这里很巧合,刚刚网御星云刘总也谈到,做设备小的问题,实际上我很赞同这一点,PPU这一点,实际上WatchGuard最高端的5520系,可以做实测全功能开启防火墙安全性,在1U空间里面做10T的吞吐量,对于大音希声、大象无形的强烈体现。
以上是WatchGuard的产品和一些解决方案。
最后介绍一下WatchGuard,大家会问WatchGuard的解决方案似乎不错,但是WatchGuard的名字没听说过,在这里我想说的崇高一点,可能我们做到《道德经》里面最后一句话,因为大音希声、大象无形,到最后道就没有了,最高的道是没有道,我们开玩笑说WatchGuard做的太好在中国就听不到。
WatchGuard是1990年在西雅图成立的,大家都知道做防火墙,必然有Netfilter技术,WatchGuard在1996年推出了Firebox10,119大家在做什么是防火墙的时候,WatchGuard推出了全球第一次防火墙和VPN硬件融合,第一次做集中网管平台,到现在我们已经做的16年。2000年我们推出了AISC架构防火墙。2003年我们率先推出全功能UTM,2010年WatchGuard所有的产品从原来的UTM全面提到下一代防火墙,除了防火墙的四大特征,防火墙ITS、防病毒和业务控制,还有刚刚说的负载均衡、反垃圾邮件、页面工具、数据迁移、无线控制,包括我们刚刚说的应用代理。2012年推出基于云计算和虚拟化安全解决方案XTMv&XCSv。
三亿文库包含各类专业文献、高等教育、专业论文、生活休闲娱乐、幼儿教育、小学教育、外语学习资料、应用写作文书、大数据时代的网络安全保障之道37等内容。
达州市2017年度公需科目大数据时代的互联网信息安全考试答案91分_远程、网络教育_成人教育_教育专区。2017 年度大数据时代的互联网信息安全 91 分 1.世界上首例... 2017年度大数据时代的互联网信息安全考试答案_计算机软件及应用_IT/计算机_专业...不得出售个人信息 D.以法律形式明确“网络实名制” 27.信息安全保障强调依赖( ... 大数据时代的网络安全研究_计算机软件及应用_IT/计算机_专业资料。龙源期刊网 ...计算机网络安全管理水平,确保计算机网络技术能够正常、健康、有序地发 展,保证... 2017年度大数据时代的互联网信息安全试题答案_互联网_IT/计算机_专业资料。2017...(判断题 1 分) 得分:1 分 正确√ 错误 44.信息技术保障框架(IATF),提出了... 22.大数据时代,数据使用的关键是:( )(单选题 2 分) o o o o 得分:2 ...“网络实名制” D.严厉打击网络诈骗 得分:0 分 28.信息安全保障强调依赖(ACD... 2017年度大数据时代的互联网信息安全试题及参考答案_职业技术培训_职业教育_教育专区。2017继续教育培训,大数据 2017 年度大数据时代的互联网信息安全 1.下列选项中,... 2017年度大数据时代的互联网信息安全考题及答案_职业技术培训_职业教育_教育专区...(判断题 1 分) 正确 错误 37.信息技术保障框架(IATF),提出了三保卫一支撑(... 遂宁市2017年《大数据时代的互联网信息安全》公需科目试题及答案_远程、网络教育...(含答案) D.用户清理了电脑中的缓存网页文件 33.信息安全保障强调依赖( )实现...按公司简称
按股票代码
按企业行业
按发布日期
按关 键 词
按发布地区
按文章标题
&您的位置: >& 新闻浏览
揭秘网络世界的神秘“刺客”APT&&
10:09&&&& 来源:商业电讯
&&&&北京&()--APT就像网络世界神秘莫测的刺客,以其自身的特点威慑着目标系统的安全。俗话说,知己知彼百战百胜,首先让我们先来认识一下APT攻击:首先让我们一起认识一下APT攻击:APT(Advanced Persistent Threat)高级持续性威胁,它并不是一种单一的攻击行为,如果从攻击手段上解释,APT是一种结合社会工程学、利用计算机网络环境中的各个弱点、集合了各种网络攻击手段的一种行为。分析APT攻击过程可以发现: &&&&1、 APT的攻击者在选择攻击的突破口时,都是想方设法在被攻击者内部网络中的某个终端上运行恶意代码,这种恶意代码往往带有非常强的伪装性和欺骗性,尤其恶意代码采用Zero Day漏洞时,则很难在第一时间发现这种攻击。APT的攻击者在获取终端权限后,再通过该终端进行远程控制,从而实现横向渗透,并最终将所需要的信息回传。 &&&&2、 APT攻击隐蔽能力强,为了躲避传统检测设备,它更加注重动态行为和静态文件的隐蔽性。例如通过隐蔽通道、加密通道避免网络行为被检测,或者通过伪造合法签名的方式避免恶意代码文件本身被识别,这就给传统基于签名的检测带来很大困难。 &&&&3、 由于APT攻击的持续时间长,从最初的攻击信息搜集,到信息窃取并外传往往要经历几个月甚至更长的时间,传统的检测方式如果只是基于单个时间点的实时检测,难以对跨度如此长的攻击进行有效跟踪。 &&&&在认识了APT之后,让我们一起回顾业界几个比较典型的APT攻击案例: &&&&1、 超级工厂病毒攻击(震网攻击):这个病毒早在2007年被发现,超级工厂病毒的攻击者并没有广泛的去传播病毒,通过特别定制的未知恶意程序感染相关人员的U盘,病毒以U盘为桥梁进入&堡垒&内部,随即潜伏下来。病毒很有耐心的逐步扩散,利用多种0day一点点的进行破坏。 &&&&2、 Google极光攻击:2010年的Google Aurora(极光)攻击是一个十分著名的APT攻击。Google内部终端被未知恶意程序渗入数月,攻击者持续监听并最终成功参透进入了Google的邮件服务器,进而不断的获取特定Gmail账户的邮件内容信息,并且造成各种系统的数据被窃取。 &&&&3、 夜龙攻击:夜龙攻击是在2011年2月份发现并命名。该攻击的攻击过程是:利用SQL注入攻击和密码暴力破解目标机器并植入未知恶意代码,并被安装远端控制工具(RAT),最终传回大量机密文档。 &&&&4、 RSA SecurID窃取攻击:2011年3月,RSA公司遭受入侵,公司关键技术及客户资料被窃取。而此次APT攻击就是利用了Adobe的0day漏洞植入臭名昭著的Poison Ivy远端控制工具在受感染客户端,并开始自僵尸网络的命令控制服务器下载指令进行任务。 &&&&通过以上这些典型的APT攻击案例,我们不难看出,APT攻击都存在一些共同的特点,就是隐蔽性强,有明确的攻击目标,并通过不计成本挖掘/购买0day漏洞以及多种方式组合渗透、定向扩散,对目标机器进行长期持续性的攻击。同时从上述攻击案例我们也不难发现,当前已处于APT盛行的时代,根据Ponemon研究所名为&高级持续性攻击的现状&报告显示,在过去12个月中,企业平均遭遇了9起这种有针对性的攻击。近一半的企业称,攻击者成功地从他们的内部网络窃取了机密或者敏感信息。另据CN-CERT发布的《2013年我国互联网网络安全态势综述》显示,2013年我国境内至少有1.5万余台主机感染了具有APT特征的木马程序。APT攻击已经成为当前最主要的安全威胁,对于网络安全厂商而言,必须将这类威胁的防范必须融入一个更大的监测及预防策略中,并整合现有的网络防御,由此实现对APT攻击的全面防御。 &&&&面对盛行的APT攻击威胁,各个厂商也推出了自己的APT防御之道,让我们来看看身边的安全厂商是如何防御APT攻击威胁的? &&&& 翰海源星云多维度威胁预警平台 &&&&翰海源于2012年9月就推出了针对APT攻击检测的翰海源星云V1版本,2013年12月又推出了V2版本。V1版主要以无签名算法检测为主,主要用于企事业单位的部署使用;V2版本中增加了以动态行为分析为主的APT攻击的检测体系。 &&&& 启明星辰恶意代码检测引擎 &&&&启明星辰恶意代码检测引擎主要是针对恶意代码检测的一款专用产品,该产品可以对已知的恶意代码检测,也可以对未知恶意代码进行检测,通过对未知恶意代码,利用未知漏洞传播未知恶意代码的检测,可以检测出APT攻击的核心步骤。 &&&& FortiSandbox APT沙盒防御解决方案 &&&&FortiSandbox采用沙箱虚拟分析技术,在沙箱中模拟用户环境(如复制标准的工作站)运行待检测的代码,通过分析输出结果来确认某种攻击行为,从而帮助用户提升对APT攻击的识别和防御能力。 &&&&天眼未知威胁检测系统 &&&&360天眼威胁感知系统通过对APT的核心攻击过程(未知病毒、未知恶意代码、特种木马、未知漏洞(0day)利用)的检测,实现对APT攻击的发现。同时,360天眼威胁感知系统(TSS)亦可通过与360天擎终端安全管理系统(ESS)、360天机移动终端安全管理系统联动。 &&&& 天融信APT防御系统 &&&&天融信APT防御系统产品通过集成海量黑白名单、规模化动态虚拟机,实现对APT攻击的有效防御。天融信APT防御系统通过与天融信NGFW产品联动防御,从而构建边界安全、控制通道安全以及ZeroDay安全的一体化防护体系,为用户提供更加全面的安全保障。 &&&&面对APT攻击,对于部署在网络边界位置的NGFW需要具有一套完整、有效的安全防护解决方案。天融信NGFW产品内置病毒特征库、攻击规则库、僵尸网络识别库、Web信誉库、应用识别特征库,构建针对已知威胁的全面防御体系,同时通过&动态云防护&平台,将各类威胁检测特征库以实时、主动的方式推送到部署在用户环境中的NGFW,从而使用户的安全防护策略得到及时、准确的动态更新,以保证应对网络应用环境中层出不穷并的攻击。 &&&&同时,天融信APT防御系统通过与天融信NGFW联动防御,对不可信的代码程序进行静态、动态双模分析,并采用联动机制对基于未知漏洞、恶意代码的APT攻击实现主动防御。天融信APT防御系统内置超过1.5亿规模海量混合威胁特征库,支持对多种文件格式、可执行程序的静态分析。在经过静态分析后仍然无法做出判断的情况下,天融信APT防御系统还可以通过沙箱技术,为不可信的代码程序提供虚拟化模拟运行环境,根据其在运行中发生的动作与运行后产生的结果来进行威胁与风险的最终判断。天融信APT防御系统与天融信NGFW通过&旁路实时检测、串行动态阻断&的联动方案,实现对基于未知威胁APT攻击的主动防御。 &&&&在如今的移动互联时代,APT攻击的流行既是机遇又是挑战。机遇在于事实证明传统的单点安全防御很难防御APT,用户需要全方位立体安全防御体系,大量新的安全技术能够更快地推广,网络安全防护将再上新的台阶。挑战在于APT攻击不同于传统安全产品的同质化,更加专业、复杂的APT攻击对安全防御提出了前所未有的高要求,只有不断的提升产品和解决方案的功能、性能和质量,才能有效应对新的APT攻击。&&&&&
北京市海淀区学院南路15号北发大厦B座1层 邮编:100088 电话:010-0 传真:010-
商业电讯网 Business Press Release Newswire
版权所有 北京商讯天下科技有限公司比特客户端
您的位置:
详解大数据
详解大数据
详解大数据
详解大数据
步步分解APT攻击 浅析四大检测防御方案
关键字:APT攻击 防御方案 解决方案
apt攻击是近几年来出现的一种高级攻击,具有难检测、持续时间长和攻击目标明确等特征。传统基于攻击特征的检测和防御方法在检测和防御apt方面效果很不理想,因此,各厂商都在研究新的方法并提出了多种多样的解决。
针对APT逐步渗透攻击的特点,我们提出了一个针对工控 APT 攻击的检测与防护方案,针对 APT 攻击的五个阶段分别讨论了相应的应对策略。
(1) 全方位抵御水坑攻击基于“水坑+网站挂马方式”的突破防线技术愈演愈烈,并出现了单漏洞多水坑的新攻击方法。针对这种趋势,一方面寄希望于网站管理员重视并做好网站漏洞检测和挂马检测;另一方面要求用户(尤其是能接触到工业控制设备的雇员)尽量使用相对较安全的Web,及时安装安全补丁,最好能够部署成熟的主机入侵防御系统。
(2) 防范社会工程攻击、阻断 C&C 通道 在工业控制系统运行的各个环节和中,人往往是其中最薄弱的环节,故非常有必要通过周期性的课程努力提高员工的安全意识。另外,也应该加强从技术上阻断攻击者通过社会工程突破防线后建立C&C通道的行为,建议部署值得信赖的入侵防御系统。
(3) 工业控制系统组件漏洞与后门检测与防护工业控制系统行业使用的任何工业控制系统组件均应假定为不安全或存在恶意的,上线前必需经过严格的漏洞、后门检测以及配置核查,尽可能避免工业控制系统中存在2014 工业控制系统的安全研究与实践的各种已知或未知的安全缺陷。其中针对未知安全缺陷(后门或系统未声明功能)的检测相对困难,目前多采用系统代码的静态分析方法或基于系统虚拟执行的动态分析方法相结合的方式。
(4) 异常行为的检测与审计上述列举出的 APT 突破防线和完成任务阶段采用的各种新技术和方法,以及其他已经出现或者即将出现的新技术和方法,直观上均表现为一种异常行为。建议部署工控审计系统, 全面采集工业控制系统相关网络设备的原始流量以及各终端和上的日志;结合基于行为的业务审计模型对采集到的进行综合分析,识别发现业务中可能存在的异常流量与异常操作行为,发现 APT 攻击的一些蛛丝马迹,甚至可能还原整个 APT攻击场景。鉴于工业控制系统业务场景比较稳定、操作行为比较规范的实际情况,在实施异常行为审计的同时,也可以考虑引入基于白环境的异常检测模型,对工业控制系统中的异常操作行为进行实时检测与发现。
apt攻击过程分解
整个apt攻击过程包括定向情报收集、单点攻击突破、控制通道构建、内部横向渗透和收集上传等步骤:
1、定向情报收集
定向情报收集,即攻击者有针对性的特定组织的网络系统和员工信息。信息搜集方法很多,包括网络隐蔽扫描和社会工程学方法等。从目前所发现的apt攻击手法来看,大多数apt攻击都是从组织员工入手,因此,攻击者非常注意搜集组织员工的信息,包括员工的、博客等,以便了解他们的社会关系及其爱好,然后通过社会工程方法来攻击该员工电脑,从而进入组织网络。
2、单点攻击突破
单点攻击突破,即攻击者收集了足够的信息后,采用攻击组织员工的个人电脑,攻击方法包括:
1)社会工程学方法,如通过email给员工发送包含恶意代码的文件附件,当员工打开附件时,员工电脑就感染了恶意代码;
2)远程漏洞攻击方法,比如在员工经常访问的网站上放置网页,当员工访问该网站时,就遭受到网页代码的攻击,rsa公司去年发现的水坑攻击(watering hole)就是采用这种攻击方法。
这些恶意代码往往攻击的是系统未知漏洞,现有杀毒和个人安全工具无法察觉,最终结果是,员工个人电脑感染恶意代码,从而被攻击者完全控制。
3、控制通道构建
控制通道构建,即攻击者控制了员工个人电脑后,需要构建某种渠道和攻击者取得联系,以获得进一步攻击指令。攻击者会创建从被控个人电脑到攻击者控制服务器之间的命令控制通道,这个命令控制通道目前多采用http协议构建,以便突破组织的防火墙,比较高级的命令控制通道则采用https协议构建。
4、内部横向渗透
内部横向渗透,一般来说,攻击者首先突破的员工个人电脑并不是攻击者感兴趣的,它感兴趣的是组织内部其它包含重要资产的服务器,因此,攻击者将以员工个人电脑为跳板,在系统内部进行横向渗透,以攻陷更多的pc和服务器。攻击者采取的横向渗透方法包括口令窃听和漏洞攻击等。
5、数据收集上传
数据收集上传,即攻击者在内部横向渗透和长期潜伏过程中,有意识地搜集各服务器上的重要数据资产,进行压缩、加密和打包,然后通过某个隐蔽的数据通道将数据传回给攻击者。
apt检测和防御方案分类
纵观整个apt攻击过程发现,有几个步骤是apt攻击实施的关键,包括攻击者通过恶意代码对员工个人电脑进行单点攻击突破、攻击者的内部横向渗透、通过构建的控制通道获取攻击者指令,以及最后的敏感数据外传等过程。当前的apt攻击检测和防御方案其实都是围绕这些步骤展开。
我们把本届rsa大会上收集到的apt检测和防御方案进行了整理,根据它们所覆盖的apt攻击阶段不同,将它们分为以下四类:
1、恶意代码检测类方案:
该类方案主要覆盖apt攻击过程中的单点攻击突破阶段,它是检测apt攻击过程中的恶意代码传播过程。大多数apt攻击都是通过恶意代码来攻击员工个人电脑,从而来突破目标网络和系统防御措施的,因此,恶意代码检测对于检测和防御apt攻击至关重要。
2、主机应用保护类方案:
该类方案主要覆盖apt攻击过程中的单点攻击突破和数据收集上传阶段。不管攻击者通过何种渠道向员工个人电脑发送恶意代码,这个恶意代码必须在员工个人电脑上执行才能控制整个电脑。因此,如果能够加强系统内各主机节点的安全措施,确保员工个人电脑以及服务器的安全,则可以有效防御apt攻击。
3、网络入侵检测类方案:
该类方案主要覆盖apt攻击过程中的控制通道构建阶段,通过在网络边界处部署入侵检测系统来检测apt攻击的命令和控制通道。安全分析人员发现,虽然apt攻击所使用的恶意代码变种多且升级频繁,但恶意代码所构建的命令控制通道模式并不经常变化,因此,可以采用传统入侵检测方法来检测apt的命令控制通道。该类方案成功的关键是如何及时获取到各apt攻击手法的命令控制通道的检测特征。
4、分析检测类方案:
该类方案并不重点检测apt攻击中的某个步骤,它覆盖了整个apt攻击过程。该类方案是一种网络取证思路,它全面采集各网络设备的原始流量以及各终端和服务器上的日志,然后进行集中的海量数据和深入分析,它可在发现apt攻击的一点蛛丝马迹后,通过全面分析这些海量数据来还原整个apt攻击场景。大数据分析检测方案因为涉及海量数据处理,因此需要构建大数据存储和分析平台,比较典型的大数据分析平台有hadoop
[ 责任编辑:小石潭记 ]
去年,手机江湖里的竞争格局还是…
甲骨文的云战略已经完成第一阶段…
软件信息化周刊
比特软件信息化周刊提供以数据库、操作系统和管理软件为重点的全面软件信息化产业热点、应用方案推荐、实用技巧分享等。以最新的软件资讯,最新的软件技巧,最新的软件与服务业内动态来为IT用户找到软捷径。
商务办公周刊
比特商务周刊是一个及行业资讯、深度分析、企业导购等为一体的综合性周刊。其中,与中国计量科学研究院合力打造的比特实验室可以为商业用户提供最权威的采购指南。是企业用户不可缺少的智选周刊!
比特网络周刊向企业网管员以及网络技术和产品使用者提供关于网络产业动态、技术热点、组网、建网、网络管理、网络运维等最新技术和实用技巧,帮助网管答疑解惑,成为网管好帮手。
服务器周刊
比特服务器周刊作为比特网的重点频道之一,主要关注x86服务器,RISC架构服务器以及高性能计算机行业的产品及发展动态。通过最独到的编辑观点和业界动态分析,让您第一时间了解服务器行业的趋势。
比特存储周刊长期以来,为读者提供企业存储领域高质量的原创内容,及时、全面的资讯、技术、方案以及案例文章,力求成为业界领先的存储媒体。比特存储周刊始终致力于用户的企业信息化建设、存储业务、数据保护与容灾构建以及数据管理部署等方面服务。
比特安全周刊通过专业的信息安全内容建设,为企业级用户打造最具商业价值的信息沟通平台,并为安全厂商提供多层面、多维度的媒体宣传手段。与其他同类网站信息安全内容相比,比特安全周刊运作模式更加独立,对信息安全界的动态新闻更新更快。
新闻中心热点推荐
新闻中心以独特视角精选一周内最具影响力的行业重大事件或圈内精彩故事,为企业级用户打造重点突出,可读性强,商业价值高的信息共享平台;同时为互联网、IT业界及通信厂商提供一条精准快捷,渗透力强,覆盖面广的媒体传播途径。
云计算周刊
比特云计算周刊关注云计算产业热点技术应用与趋势发展,全方位报道云计算领域最新动态。为用户与企业架设起沟通交流平台。包括IaaS、PaaS、SaaS各种不同的服务类型以及相关的安全与管理内容介绍。
CIO俱乐部周刊
比特CIO俱乐部周刊以大量高端CIO沙龙或专题研讨会以及对明星CIO的深入采访为依托,汇聚中国500强CIO的集体智慧。旨为中国杰出的CIO提供一个良好的互融互通 、促进交流的平台,并持续提供丰富的资讯和服务,探讨信息化建设,推动中国信息化发展引领CIO未来职业发展。
IT专家新闻邮件长期以来,以定向、分众、整合的商业模式,为企业IT专业人士以及IT系统采购决策者提供高质量的原创内容,包括IT新闻、评论、专家答疑、技巧和白皮书。此外,IT专家网还为读者提供包括咨询、社区、论坛、线下会议、读者沙龙等多种服务。
X周刊是一份IT人的技术娱乐周刊,给用户实时传递I最新T资讯、IT段子、技术技巧、畅销书籍,同时用户还能参与我们推荐的互动游戏,给广大的IT技术人士忙碌工作之余带来轻松休闲一刻。
微信扫一扫
关注Chinabyte比特客户端
您的位置:
详解大数据
详解大数据
详解大数据
详解大数据
最全面的安全防护――NGFW如何防御APT攻击
关键字:APT攻击 NGFW 安全防护 应用安全
今日的正在面临前所未有的挑战,这主要来自于有组织、有特定目标、隐蔽性强、破坏力大、持续时间长的新型攻击和威胁,国际上称之为APT(Advanced Persistent Threat)攻击。随着、等移动终端被广泛应用于企业,而基于移动设备的威胁呈几何倍数的增长,对终端防护更加处于失控的状态,APT 攻击者通过以智能、电脑等移动设备为跳板继而企业系统的方式也显著增加。
分析APT攻击的过程,我们发现从APT攻击第一步是控制终端,不论是通过什么方式,最终都是希望达到在终端上执行的目的,在获取终端权限后,通过该终端进行远程控制,从而横向渗透,并最终将所需要的信息回传。在这个过程中,作为边界的安全设备NGFW,支持对Web、邮件和文件共享等的恶意代码检测,以及除支持PE文件之外的其他办公软件文件类型的恶意代码检测,对于检测和防御APT攻击至关重要。
APT攻击中的恶意代码有两大类,第一类是已知的恶意代码,这些恶意代码是针对已知的系统漏洞。虽然企业都知晓应该为系统漏洞按照最新的补丁,不过由于管理或者人力的问题,大多数的企业都很难随时更新到最新的修补程序。而作为深度融合了能力的NGFW,提供一种主动实时的防护,基于漏洞的签名库,能精确防护2-7层的攻击行为,对恶意代码攻击进行准确的分析判断,阻止漏洞攻击的恶意流量,为企业网络提供“虚拟补丁”的作用,在APT攻击中,能准确的识别恶意代码的攻击。
另一大类的恶意代码是针对零日(0day)漏洞的恶意代码或者是未知的恶意代码,或者编写符合自己攻击目标,但能饶过现有防护者检测体系的特种,这些0day漏洞和特种木马,都是防护者或防护体系所未知的。
NGFW对未知威胁恶意代码的检测,一是依赖各种沙箱技术,包括手机沙箱、PE沙箱、web沙箱等,通过沙箱技术,构造一个的环境,任何灰度的流量装入一个隔离的沙箱中。通过提取流量中的相关代码,然后将代码放到沙箱中执行,在隔离的虚拟化的沙箱环境中分析恶意软件或恶意内容,可让安全人员实际看到恶意软件的运作模式。例如,如果怀疑电子邮件附件和URL藏有恶意软件,就可以将其放入沙箱,沙箱分析威胁相关信息,例如参与攻击的源头,被攻击的系统、、文件、URL及恶意软件等,借助这些信息,可以识别各种恶意代码,安全管理人员可以决定适当的防御措施,由于APT攻击途径多种多样,可以是邮件,可以是web,可能来源于等等,因此NGFW能否能提供全面的沙箱技术是防范APT攻击的关键。
沙箱技术已经成为业界解决APT攻击的基础,在这方面一直投入很多。那我们比其他厂商领先的地方在那呢?就是我们支持的沙箱种类更多、更全面,也就是说我们更能提供方法去有效抵御APT,比如说华为独家支持手机沙箱,能快速识别手机恶意威胁。
同时NGFW对未知威胁的检测,第二种技术是采用基于信誉体系的检测技术,识别各种文件和WEB的信誉。通过信誉分值的比对,就可以知道某个URL潜在的风险级别。当用户访问具有潜在风险的网站时,NGFW就可以及时提醒或阻止,可以高效的防护恶意网站和恶意文件对系统的攻击。同时NGFW在整个防御链(客户端-云检测端-云中心)承担着基础的、首要的检测任务。
NGFW通过和自身或者第三方的云检测系统进行同步获取最新的信誉信息。作为信誉体系的支撑,云检测系统核心是一套安全态势感知的分析平台,该平台自动、高效、精确地对全球采集的恶意样本进行安全性分析和威胁判定,其中涉及流量识别、检测、0-Day发现、钓鱼识别、Botnet分析、恶意网址分析等多个方面。在经过这些诸多检测手段的挖掘后,将其中有价值的样本进行进一步提炼,再对这些样本进行IP、域名、文件、URL、地理位置、Spam、用户ID、历史追踪等多个层面进行信誉标示并更新信誉库到云信誉检测&查询系统中,并同步到NGFW中,从事实现了NGFW对未知威胁的及时检测与防护。
华为NGFW依托于分布在中国深圳、北京、成都、杭州和印度班加罗尔世界级的安全研究中心,为APT攻击检测提供了基于云的强大信誉体系支持。
[ 责任编辑:小石潭记 ]
去年,手机江湖里的竞争格局还是…
甲骨文的云战略已经完成第一阶段…
软件信息化周刊
比特软件信息化周刊提供以数据库、操作系统和管理软件为重点的全面软件信息化产业热点、应用方案推荐、实用技巧分享等。以最新的软件资讯,最新的软件技巧,最新的软件与服务业内动态来为IT用户找到软捷径。
商务办公周刊
比特商务周刊是一个及行业资讯、深度分析、企业导购等为一体的综合性周刊。其中,与中国计量科学研究院合力打造的比特实验室可以为商业用户提供最权威的采购指南。是企业用户不可缺少的智选周刊!
比特网络周刊向企业网管员以及网络技术和产品使用者提供关于网络产业动态、技术热点、组网、建网、网络管理、网络运维等最新技术和实用技巧,帮助网管答疑解惑,成为网管好帮手。
服务器周刊
比特服务器周刊作为比特网的重点频道之一,主要关注x86服务器,RISC架构服务器以及高性能计算机行业的产品及发展动态。通过最独到的编辑观点和业界动态分析,让您第一时间了解服务器行业的趋势。
比特存储周刊长期以来,为读者提供企业存储领域高质量的原创内容,及时、全面的资讯、技术、方案以及案例文章,力求成为业界领先的存储媒体。比特存储周刊始终致力于用户的企业信息化建设、存储业务、数据保护与容灾构建以及数据管理部署等方面服务。
比特安全周刊通过专业的信息安全内容建设,为企业级用户打造最具商业价值的信息沟通平台,并为安全厂商提供多层面、多维度的媒体宣传手段。与其他同类网站信息安全内容相比,比特安全周刊运作模式更加独立,对信息安全界的动态新闻更新更快。
新闻中心热点推荐
新闻中心以独特视角精选一周内最具影响力的行业重大事件或圈内精彩故事,为企业级用户打造重点突出,可读性强,商业价值高的信息共享平台;同时为互联网、IT业界及通信厂商提供一条精准快捷,渗透力强,覆盖面广的媒体传播途径。
云计算周刊
比特云计算周刊关注云计算产业热点技术应用与趋势发展,全方位报道云计算领域最新动态。为用户与企业架设起沟通交流平台。包括IaaS、PaaS、SaaS各种不同的服务类型以及相关的安全与管理内容介绍。
CIO俱乐部周刊
比特CIO俱乐部周刊以大量高端CIO沙龙或专题研讨会以及对明星CIO的深入采访为依托,汇聚中国500强CIO的集体智慧。旨为中国杰出的CIO提供一个良好的互融互通 、促进交流的平台,并持续提供丰富的资讯和服务,探讨信息化建设,推动中国信息化发展引领CIO未来职业发展。
IT专家新闻邮件长期以来,以定向、分众、整合的商业模式,为企业IT专业人士以及IT系统采购决策者提供高质量的原创内容,包括IT新闻、评论、专家答疑、技巧和白皮书。此外,IT专家网还为读者提供包括咨询、社区、论坛、线下会议、读者沙龙等多种服务。
X周刊是一份IT人的技术娱乐周刊,给用户实时传递I最新T资讯、IT段子、技术技巧、畅销书籍,同时用户还能参与我们推荐的互动游戏,给广大的IT技术人士忙碌工作之余带来轻松休闲一刻。
微信扫一扫
关注Chinabyte
