本文讲的是下一代防火墙(NGFW)如何防御APT攻击,今日企业的网络安全正在面临前所未有的挑战,这主要来自于有组织、有特定目标、隐蔽性强、破坏力大、持续时间长的新型攻击和威胁,国际上称之为APT(Advanced Persistent Threat)攻击。随着iPad、智能手机等移动终端被广泛应用于企业,而基于移动设备的威胁呈几何倍数的增长,对终端防护更加处于失控的状态,APT 攻击者通过以智能手机、平板电脑等移动设备为跳板继而入侵企业信息系统的方式也显著增加。
分析APT攻击的过程,我们发现从APT攻击第一步是控制终端,不论是通过什么方式,最终都是希望达到在终端上执行恶意代码的目的,在获取终端权限后,通过该终端进行远程控制,从而横向渗透,并最终将所需要的信息回传。在这个过程中,作为边界的安全设备NGFW,支持对Web、邮件和文件共享等的恶意代码检测,以及除支持PE文件之外的其他办公软件文件类型的恶意代码检测,对于检测和防御APT攻击至关重要。
APT攻击中的恶意代码有两大类,第一类是已知的恶意代码,这些恶意代码是针对已知的系统漏洞。虽然企业都知晓应该为系统漏洞按照最新的补丁,不过由于管理或者人力的问题,大多数的企业都很难随时更新到最新的修补程序。而作为深度融合了IPS能力的NGFW,提供一种主动实时的防护,基于漏洞的签名库,能精确防护2-7层的攻击行为,对恶意代码攻击进行准确的分析判断,阻止漏洞攻击的恶意流量,为企业网络提供“虚拟补丁”的作用,在APT攻击中,能准确的识别恶意代码的攻击。
另一大类的恶意代码是针对零日(0day)漏洞的恶意代码或者是未知的恶意代码,或者编写符合自己攻击目标,但能饶过现有防护者检测体系的特种木马,这些0day漏洞和特种木马,都是防护者或防护体系所未知的。
NGFW对未知威胁恶意代码的检测,一是依赖各种沙箱技术,包括手机沙箱、PE沙箱、web沙箱等,通过沙箱技术,构造一个虚拟化的环境,任何灰度的流量都可以装入一个隔离的沙箱中。通过提取流量中的相关代码,然后将代码放到沙箱中执行,在隔离的虚拟化的沙箱环境中分析恶意软件或恶意内容,可让安全人员实际看到恶意软件的运作模式。例如,如果怀疑电子邮件附件和URL藏有恶意软件,就可以将其放入沙箱,沙箱分析威胁相关信息,例如参与攻击的源头,被攻击的系统、域名、文件、URL及恶意软件等,借助这些信息,可以识别各种恶意代码,安全管理人员可以决定适当的防御措施,由于APT攻击途径多种多样,可以是邮件,可以是web,可能来源于手机应用等等,因此NGFW能否能提供全面的沙箱技术是防范APT攻击的关键。
沙箱技术已经成为业界解决APT攻击的基础,华为在这方面一直投入很多。那我们比其他厂商领先的地方在那呢?就是我们支持的沙箱种类更多、更全面,也就是说我们更能提供方法去有效抵御APT,比如说华为独家支持手机沙箱,能快速识别手机恶意威胁。
同时NGFW对未知威胁的检测,第二种技术是采用基于信誉体系的检测技术,识别各种文件和WEB的信誉。通过信誉分值的比对,就可以知道某个URL潜在的风险级别。当用户访问具有潜在风险的网站时,NGFW就可以及时提醒或阻止,可以高效的防护恶意网站和恶意文件对系统的攻击。同时NGFW在整个防御链(客户端-云检测端-云中心)承担着基础的、首要的检测任务。
NGFW通过和自身或者第三方的云检测系统进行同步获取最新的信誉信息。作为信誉体系的支撑,云检测系统核心是一套安全态势感知的自动化分析平台,该平台自动、高效、精确地对全球采集的恶意样本进行安全性分析和威胁判定,其中涉及流量识别、病毒检测、0-Day发现、钓鱼识别、Botnet分析、恶意网址分析等多个方面。在经过这些诸多检测手段的挖掘后,将其中有价值的样本进行进一步提炼,再对这些样本进行IP、域名、文件、URL、地理位置、Spam、用户ID、历史追踪等多个层面进行信誉标示并更新信誉库到云信誉检测&查询系统中,并同步到NGFW中,从事实现了NGFW对未知威胁的及时检测与防护。
华为NGFW依托于分布在中国深圳、北京、成都、杭州和印度班加罗尔世界级的安全研究中心,为APT攻击检测提供了基于云的强大信誉体系支持。
作者:杜继华
来源:it168网站
原文标题:下一代防火墙(NGFW)如何防御APT攻击?