APT真實存在還是噱頭?

APT(Advanced Persistent Threat)高級持續(xù)性威脅無可厚非是今年信息安全業(yè)內(nèi)最流行的詞匯了。近期在京舉行的“2013年中國互聯(lián)網(wǎng)安全大會”，幾乎所有有關網(wǎng)絡安全的話題都會談及到APT攻擊。既然APT攻擊如此“火”，那到底APT攻擊是真實存在?還是噱頭?

什么是APT攻擊?

APT(Advanced Persistent Threat)高級持續(xù)性威脅，威脅著用戶網(wǎng)絡的數(shù)據(jù)安全。APT是黑客以竊取核心資料為目的，針對客戶所發(fā)動的網(wǎng)絡攻擊和侵襲行為，是一種蓄謀已久的“惡意間諜威脅”。這種行為往往經(jīng)過長期的經(jīng)營與策劃，并具備高度的隱蔽性。APT的攻擊手法，在于隱匿自己，針對特定對象，長期、有計劃性和組織性地竊取數(shù)據(jù)，這種發(fā)生在數(shù)字空間的偷竊資料、搜集情報的行為，也是一種“網(wǎng)絡間諜”的行為。

事實上，APT攻擊并不是一種新的攻擊行為，而是利用各種攻擊手段，針對某個特定目標發(fā)起的持續(xù)性的攻擊。區(qū)別于過去僵尸網(wǎng)絡的被動攻擊，APT攻擊的目的性十分明確。

APT攻擊一般流程

◆第一步：攻擊者通過各種途徑收集用戶相關信息，包括從外部掃描了解信息以及從內(nèi)部利用社會工程學了解相關用戶信息;

◆第二步：攻擊者通過包括漏洞攻擊、Web攻擊等各種攻擊手段入侵目標系統(tǒng)，采用低烈度的攻擊模式避免目標發(fā)現(xiàn)以及防御;

◆第三步：攻擊者通過突破內(nèi)部某一臺服務器或終端電腦滲透進內(nèi)部網(wǎng)絡，進而對目標全網(wǎng)造成危害;

◆第四步：攻擊者逐步了解全網(wǎng)結構及獲取更高權限后鎖定目標資產(chǎn)，進而開始對數(shù)據(jù)進行竊取或者造成其他重大侵害。

下一代防火墻如何防御APT攻擊?

區(qū)別于傳統(tǒng)的網(wǎng)絡安全解決方案，下一代防火墻并不是割裂的分析每個攻擊的行為，而是站在更高的角度審視整個攻擊過程，從各個攻擊步驟進行逐個擊破以達到防御APT攻擊的目的。

據(jù)了解，國內(nèi)第一家發(fā)布下一代防火墻廠商深信服科技公司的下一代防火墻(NGAF)產(chǎn)品能夠通過對APT攻擊的每一步進行防御并阻斷攻擊者的APT攻擊，達到綜合防御統(tǒng)一分析的效果。

深信服下一代防火墻主要通過以下幾個方向對APT攻擊進行抑制和防御：

信息收集防御：通過WAF、IPS等模塊防御具有網(wǎng)絡行為的信息收集、弱密碼探測、端口掃描、掃描軟件探測等;通過敏感信息防泄漏模塊防御敏感信息收集，包括用戶個人信息、賬號信息、密碼信息等資料;通過主動掃描和被動掃描模塊提前進行系統(tǒng)風險評估，及時對可能被利用的漏洞信息進行修復，實現(xiàn)事前風險防護。

入侵防御：通過WAF模塊解決Web架構下SQL、XSS、Webshell等安全問題和敏感文件泄漏、目錄泄漏、源代碼泄漏等信息泄漏問題;通過IPS模塊解決緩沖區(qū)溢出攻擊、0day漏洞攻擊、應用系統(tǒng)/操作系統(tǒng)漏洞等問題;

異常流量分析及防御：AV防病毒模塊通過特征匹配方式定位已知病毒;惡意流量識別模塊通過流量行為分析，發(fā)現(xiàn)多種類型的惡意流量，其中包括訪問異常(IP地址、訪問頻率、協(xié)議類型等)、基于惡意URL、基于惡意IP地址、基于協(xié)議規(guī)范性等;

智能引擎聯(lián)動：APT攻擊需要多種步驟，當發(fā)現(xiàn)惡意行為后，智能引擎聯(lián)動能夠自動切斷該IP的攻擊，防止進一步攻擊。對于內(nèi)網(wǎng)IP發(fā)現(xiàn)行為異常后，隔離該主機，防止影響內(nèi)網(wǎng)安全;

智能聯(lián)動分析：深信服下一代防火墻多個安全防護模塊統(tǒng)一生成一份安全報表，便于用戶分析及了解內(nèi)部安全狀況，從而分析出可疑流量并協(xié)助用戶解決安全問題;