信息安全行業雖然在黑暗中摸索前行，但這并不意味無法尋找正確的方向。當前，不管是出于政治、商業目的的攻擊，還是個人隱私的竊取行為，APT攻擊以其持續、多樣以及難以偵測的特性都讓業界談之色變。而隨著APT威脅進階成為“常態化”的攻擊，安全防御的發展也到了需要轉變的時候，近日，國際數據公司(IDC)與Fortinet共同舉辦了一場網絡安全論壇，對APT攻擊的防御，指出了新的方向。

APT攻擊為何出現“常態化”?

在網絡社交如此發達的當下，用戶毫無保留地將個人信息交給互聯網，這些信息包括年齡、性別、地域、生活狀態、態度、行蹤、興趣愛好、消費行為、健康狀況甚至是性取向。以云計算和大數據為支撐的數據中心，給這些數據提供了超大容器，而這些遍布網絡，“唾手可得”的數據，又進一步為黑客借助社會工程學攻擊企業，提供了最佳跳板。

另一方面，云計算的商業價值也早已在業內廣泛傳播，并引起越來越多的企業決策層對其加以重視。在IDC發布的一份針對管理層競爭戰略的報告中顯示，對于企業管理者來說，在2015-2016年選擇增強競爭地位的IT技術中，云計算“高踞榜首”。但是，隨著大量的核心數據不斷聚集于“云”中，企業用戶不得不面對商業機密和數據財產被黑客盜取的風險。

讓用戶擔憂的原因還來自媒體的大量報道，從Google發現系統數據被竊取，到伊朗布什爾核電站遭到 Stuxnet 蠕蟲攻擊，再到Target、eBay、索尼影視、Anthem，一系列APT事件造成的巨大損失早已廣為人知。

對此，Fortinet中國技術總監譚杰認為：“黑客對于云計算業務的研究比用戶還要‘專心’，但竊取數據才是其真實目的。隨著云計算的快速普及，對其企業發動APT攻擊可以讓黑客獲得更高的投入產出比。以往分散式攻擊變得越來越沒有效率，黑客一定會聚焦于云計算平臺，施以專注、專業、持續的APT攻擊，以期獲取大量核心的機密數據，從而造成巨大破壞，或獲得最大化利益。這也是目前APT攻擊‘新常態’產生的根源。”

縱深防御戰略的基礎“零信任”

數據泄露已經在全球范圍開始泛濫，這不只是受害企業CEO、CTO辭職這么簡單，APT攻擊的防御意識和能力必須從現在開始。IDC研究經理王培是IT安全方面的專家，他認為建立“縱深防御戰略”可以有效對抗APT攻擊。這一理論來自軍事領域，首先假定攻擊不可避免，而后設置多層重疊的安全協議，減緩攻擊的過程，直至可管理、可防御攻擊。

譚杰認為，縱深防御戰略落地，會幫助企業構建出“更嚴密的訪問控制”以及“極細致的多重過濾”的新一代安全防護架構。

他表示：“黑客不會選擇正面對數據中心發起攻擊，這樣會太多的暴露自己，還會付出高額的攻擊成本。分析APT攻擊原理可以發現，權限提升持續是此類攻擊的普遍特點，黑客會從社交網絡收集信息，然后選擇辦公環境中的普通員工作為進入點。這是因為在緊張的辦公環境中，很多業務人員往往無暇顧忌和分析收到的郵件是否具有威脅，從而成為整個安全鏈條中最薄弱的一環。因此必須采用‘零信任’的訪問控制。”

“零信任”大大加強了對內網訪問的防護，是Fortinet針對APT攻擊制定整體解決方案的起點，這包括部署無處不在的防火墻，如：邊界、內網、交換、無線、虛擬化和云數據中心的SDN防火墻，與此同時對核心IT資產的訪問采用雙因子認證組合。

APT防御的最后一塊拼圖 ：安全智能

分析APT攻擊的整個過程，在這條被稱為“殺手鏈”(APT Kill Chain)的進攻路線上，黑客會采用加密、混淆、0day的方法來繞過現有的安全體系檢測，這就需要考慮多重過濾的手段。

就目前Fortinet提供的NGFW產品來看，不但支持防火墻、IPS、應用控制、WEB過濾、反病毒、反垃圾郵件、反數據泄露等一系列功能，更具有了2~7層多重過濾和沙盒分析機制。尤其是在針對0day攻擊的沙盒方面，Fortinet推出的FortiSandbox可以跟防火墻FortiGate及反垃圾郵件FortiMail形成聯動，所有可疑的文件都會自動發給沙盒來做進一步檢測，從而發現APT攻擊的蛛絲馬跡。

不過，譚杰同時也強調，在APT防御體系建立過程中，有時候用戶容易過度依賴沙盒技術，我們必須意識到，在這個過濾過程中，沙盒只是其中一環，不代表全部。其他分析手段還包括FPC/FPI技術，DPI/DFI分析技術，SIEM技術，蜜網技術、以及行為分析技術等，目標都是偵測，這是APT攻擊防御的核心。譚杰建議用戶不要走進沙盒技術的誤區，“縱深防御戰略”所包含的內容需要體系化的思維。

安全威脅的不斷演進，逐步使純粹的單點防御化為徒勞，企業需要的是全方位的安全智能。在此方面，包括Fortinet在內的許多知名安全廠商都投入了大量精力進行研發，例如Fortinet已經推出了FortiMonitor統一風險管理平臺，這款產品最擅長的就是應對跨品牌安全產品和設備環境下的管理難題，通過聚合、關聯等大數據分析方法，幫助用戶快速識別APT攻擊。

面對不斷變化的網絡威脅，我們應進一步倡導跨界合作、跨品牌管理，這不僅是應對APT攻擊“新常態”的方法，也將是未來安全產業發展的必由之路。