IT不再是企業(yè)業(yè)務(wù)的支撐,而是驅動(dòng)力,例如云計算創(chuàng )新、BYOD高效辦公。IT與業(yè)務(wù)結合越緊密,安全問(wèn)題對業(yè)務(wù)造成的影響就越直接,而安全攻擊本身越復雜,對業(yè)務(wù)開(kāi)展造成的阻礙就越大。IT的效率和安全永遠在博弈前進(jìn),而APT的出現,使得CIO/CISO心中的天平再次出現了傾斜,而且很難再恢復。
APT:安全防御的新難題
近兩年發(fā)生的一些重大安全事件可以幫助我們理解CIO/CISO的這種擔憂(yōu)。伊朗核設施震網(wǎng)攻擊:2010年7月,攻擊者使用最新漏洞蠕蟲(chóng)軟件對伊朗納坦茲的核設施進(jìn)行攻擊,使得伊朗的布什爾核電站推遲啟動(dòng)。后續調查顯示,這次攻擊系美國針對鈾濃縮設備的攻擊;韓國銀行APT攻擊:2013年3月,黑客通過(guò)社交工程和惡意軟件攻擊多家金融機構,導致信息系統幾乎癱瘓。后續調查顯示,此次攻擊系朝鮮所為,黑客至少用了8個(gè)月來(lái)策劃,攻擊次數達到1500次,受害計算機總數達48000臺,黑客所植入的惡意軟件共有76種。
可以看到,APT攻擊主要針對的是一個(gè)國家和企業(yè)的核心利益,這和傳統攻擊明顯不同。APT攻擊與傳統攻擊的本質(zhì)區別源于攻擊的目的性、組織性和資源投入差異。APT攻擊者屬于精銳部隊,精準持續攻擊。而傳統攻擊者則屬于散兵游勇,打一槍換個(gè)地方。APT防御是在和一個(gè)類(lèi)似軍隊的組織對抗,這就是CIO/CISO不安的最大原因。
據統計,目前80%的APT攻擊都是通過(guò)惡意軟件來(lái)實(shí)施。另外,據CNCERT統計,相比2011年,2012年移動(dòng)終端惡意軟件增加了25倍,企業(yè)BYOD策略的實(shí)施,在企業(yè)防御墻上又開(kāi)了一道口子,隨著(zhù)BYOD部署的深入,移動(dòng)APT攻擊會(huì )越來(lái)越頻繁。所以,惡意文件檢測很重要,目前業(yè)界APT防御主要基于此。
APT攻擊者利用社會(huì )工程、外網(wǎng)探測、釣魚(yú)網(wǎng)站、釣魚(yú)郵件、PC惡意軟件、BYOD移動(dòng)設備惡意軟件、內網(wǎng)探測掃描、AD身份盜用、網(wǎng)絡(luò )端口盜用、流量加密等多種攻擊手段,分多個(gè)階段,繞過(guò)傳統防火墻、入侵防御、防病毒等系統,長(cháng)期隱藏于目標網(wǎng)絡(luò )中,進(jìn)行精準的信息竊取和破壞活動(dòng)。因此,APT防御的目的是要檢測整個(gè)APT攻擊行為和路徑,而不僅僅是其中的一個(gè)惡意軟件手段。即使木桶的一塊板再高,如果有其它短板,CIO/CISO的不安仍然不會(huì )消除。
華為無(wú)漏洞APT防御解決方案
由此可見(jiàn),APT的防護,除了局部的惡意文件檢測防護,還需要對網(wǎng)絡(luò )和端點(diǎn)的異常行為進(jìn)行關(guān)聯(lián)協(xié)同分析,以檢測APT,并能夠快速實(shí)施全局的APT響應與控制。
基于這個(gè)思想,華為推出了無(wú)漏洞APT防御解決方案,全面防御APT威脅。它包括5大部分:網(wǎng)關(guān)、終端、云后臺、沙箱,以及大數據分析系統。其中,網(wǎng)關(guān)提供網(wǎng)絡(luò )APT檢測與APT阻斷控制功能;云后臺和沙箱為網(wǎng)關(guān)擴展APT檢測能力:簽名檢測、信譽(yù)檢測和未知文件沙箱檢測;終端提供端點(diǎn)側的BYOD保護與APT控制功能;大數據行為分析系統則是APT防護的中樞,提供基于大數據的APT事件全局關(guān)聯(lián)檢測能力,并實(shí)現全局APT安全控制。
安全網(wǎng)關(guān)設備對網(wǎng)絡(luò )數據進(jìn)行3~7層的逐層檢測,既保證全面的檢測,又能實(shí)現高性能。數據報文到NGFW/IPS安全網(wǎng)關(guān)時(shí),首先在IP層進(jìn)行主機信譽(yù)過(guò)濾,之后經(jīng)過(guò)IPS掃描檢測和簽名庫檢測過(guò)濾,數據文件通過(guò)安全設備AV簽名匹配過(guò)濾,以及Web信譽(yù)、文件信譽(yù)、黑灰白名單匹配過(guò)濾,到這一步已經(jīng)能夠識別較多的APT攻擊事件,最后未能識別的文件放入沙箱中檢測,通過(guò)還原文件行為識別惡意文件。云后臺通過(guò)集成沙箱的檢測結果,加速更新主機信譽(yù)、Web信譽(yù)、文件信譽(yù)和IPS入侵庫、AV病毒庫,有效縮短零日威脅的時(shí)間窗。
沙箱技術(shù)是檢測惡意文件的重要手段,華為經(jīng)過(guò)將近5年積累,目前支持種類(lèi)最全的沙箱:Windows PE沙箱、Web沙箱、重量級沙箱和Android沙箱,靜態(tài)檢測與動(dòng)態(tài)檢測相結合,同時(shí)威脅行為特征支持300左右,用以覆蓋全面的未知文件威脅檢測,例如Windows PE文件、PDF文件、Office文件、Web文件和圖像文件,標準配置沙箱系統性能達到每天7萬(wàn)個(gè)文件,識別率達到99%以上,威脅響應時(shí)間在30s左右。
華為BYOD安全解決方案能夠作為APT防御方案的一部分,提供MDM(移動(dòng)設備管理)/NAC(網(wǎng)絡(luò )接入控制)終端安全管控能力,有效降低了APT攻擊的威脅。但是,APT并沒(méi)有消除,例如移動(dòng)設備在社交網(wǎng)站上下載了定向的惡意軟件,這些惡意軟件很容易通過(guò)Wi-Fi和VPN通道滲透到企業(yè)內網(wǎng)。因此,華為BYOD安全方案新增了基于移動(dòng)Container沙箱的MAM(移動(dòng)應用管理)方案,將移動(dòng)應用進(jìn)行單獨隔離和安全策略管理。同時(shí),大數據行為分析系統通過(guò)對BYOD PC終端和移動(dòng)終端異常行為進(jìn)行分析,結合網(wǎng)絡(luò )側異常行為的大數據分析結果,精確定位APT威脅,消除企業(yè)CIO/CISO對開(kāi)展企業(yè)BYOD辦公的疑慮,提升企業(yè)運作效率。
APT精確檢測只是第一步,更重要的是應急響應與控制。華為APT解決方案分為兩個(gè)層面,一個(gè)是局部的APT響應控制,一個(gè)是全局的APT響應控制。
安全網(wǎng)關(guān)設備在檢測到掃描入侵、端口盜用、CC通道、惡意Web訪(fǎng)問(wèn)、釣魚(yú)郵件、惡意文件下載等網(wǎng)絡(luò )層威脅時(shí),即時(shí)做出網(wǎng)絡(luò )安全策略控制,簡(jiǎn)單而快速地消除APT安全隱患。但是這種控制只是局部的,安全管理員沒(méi)有足夠的信息來(lái)確認,在其它網(wǎng)絡(luò )節點(diǎn)或者終端上是否有來(lái)自同一個(gè)APT組織的其它手段的攻擊。而基于大數據全局檢測結果,安全管理員能夠迅速定位APT攻擊的路徑和已經(jīng)感染、可能感染的終端的位置,并通過(guò)網(wǎng)關(guān)控制阻斷APT網(wǎng)絡(luò )攻擊通道,并隔離修復被感染的BYOD移動(dòng)終端。
例如來(lái)自某個(gè)國家的APT攻擊,使用最新的惡意軟件,繞過(guò)了安全網(wǎng)關(guān),入侵到企業(yè)某個(gè)Wi-Fi接入的BYOD設備,行為分析系統通過(guò)大數據分析網(wǎng)關(guān)安全異常、端點(diǎn)異常,檢測到了疑似APT攻擊。此時(shí)安全管理員可以基于大數據檢測結果,下發(fā)安全隔離策略給AnyOffice客戶(hù)端和AC,在終端上隔離惡意軟件,強制終端下線(xiàn)。
基于華為的IT實(shí)踐和全球安全趨勢分析,我們認為,最多3年以后,APT攻擊將越來(lái)越具有隱蔽性,攻擊者會(huì )逐步從使用惡意文件進(jìn)行APT攻擊轉變到采用綜合手段攻擊,綜合攻擊最終會(huì )成為主流,用以繞過(guò)企業(yè)的沙箱檢測手段,包括增加惡意軟件的潛伏期、一次性使用惡意軟件和惡意Web頁(yè)面等等。這就需要APT方案能夠在未來(lái)幾年進(jìn)行擴展,不僅需要使用沙箱技術(shù),還需要使用大數據檢測技術(shù)。
華為APT解決方案,在完整的框架下,優(yōu)化單點(diǎn)防御能力,如領(lǐng)先的網(wǎng)關(guān)檢測與控制產(chǎn)品,完善的沙箱檢測技術(shù)、領(lǐng)先的BYOD安全防御方案,結合網(wǎng)絡(luò )和端點(diǎn)的全局大數據分析技術(shù),為客戶(hù)提供無(wú)漏洞的APT檢測與控制響應解決方案,使企業(yè)IT的安全與效率再一次真正恢復平衡。
