登录 / 注册
IT168安全频道
IT168首页 > 安全 > 安全资讯 > 正文

APT防御走向立体化 看Fortinet如何应对

2015-05-08 15:57    it168网站原创  作者: 厂商投稿 编辑: 李蓬阁

              Fortinet立体化APT防御解决方案

    APT演化为ATA,之后还会有更为精巧手段,无论成为怎样复杂的攻击,无论被称为怎样的名称,我们要怎样对付呢? 事实是不会有单一技术,或是有颗银弹来阻止ATA。 因为ATA或者APT,是一系列组合拳,有很多阶段,不同阶段有对应的攻击工具,以及不同的攻击方式。一个有效的APT防御方案应该是能够理解整个攻击过程的,然后在不同层次进行防御。 Fortinet给出了“不变”的立体化的防御解决方案。

     预防:防御的基础

    网络防御可以专注在这三件事上:预防,检测和应对。

    预防要从威胁可能进入网络的第一步就开始进行,包括状态防火墙、双因子验证、入侵防御、应用控制、Web 过滤、Email过滤、反病毒这要求能够理解ATA可能用到的不同的攻击平面,并且确保所有的漏洞都打了补丁,这能有效避免未授权的人通过漏洞或后门进入网络。这些技术组成了预防这第一步,这些技术组合被用来阻挡网络中80%以上的恶意软件和攻击。

     检测:阻断已知,还原未知

    很多攻击都可能是由于补丁未打而造成的,可能并没使用什么攻击工具,因此我们把检测放在第二的位置。

    最近有一些论调在说反病毒已死。在某些方面可以这么说,前提是反病毒技术没有发展。

    即使在今天反病毒仍然是一个对于网络安全十分有价值的技术,是因为被用来发动攻击的大多数的病毒和恶意软件都是已知的。

    另一个反病毒技术长存的原因是操作系统更新的延迟以及有效部署的时间差。在补丁发布前,0day攻击是有效的,在补丁发布后,用户没有及时更新补丁,那么这个漏洞仍然可以被利用来进行攻击。这是毫无疑问的。

    Fortinet相信反病毒仍然是安全的基石之一,并且也是十分有效的方法。下面让我们来看看为什么反病毒仍然是有效的方法?

    如今PC的操作系统环境,仍然有四分之一的PC运行windows XP和Vista,这两个是明显存在安全隐患的。又有多少用户能够及时安装更新?尤其是那些运行在工业环境中的PC,以及那些ATM。

    然而,在这些系统之上,还运行这不同版本的IE,火狐,Java,Flash,PDF阅读器,office 等等软件。想必也没人能保证这些软件的及时更新,除非是系统性的进行全部更新。若果没有,那么很多老的攻击仍然可以对新版本的软件有效。 Fortinet的反病毒技术在VB100和AV-C测试中均获得骄人战绩,成绩毫不逊色于其他专业反病毒厂商。

    下面我们在来看看检测环节的一些其他技术,僵尸网络检测、用户信誉、网络行为分析以及沙盒技术。

    沙盒技术为什么重要?沙盒是一个虚拟容器,在这里即使是不安全的程序和文件也能被安全地分析和检查以及虚拟执行。因传统的安全检查都是静态的,比如签名,启发式,模式匹配和信誉等等,应对越来越多的定制工具甚至0day,需要基于行为的动态检查,由此构成了APT防御最为重要的一环。

     应对策略:让防御系统形成闭环

    最后,要有能够应对成功突破外部防线的解决方法,要知道是从哪进来的,是如何突破的防线,还要能够知道已经攻击的程度,并且如何尽量减小损失。

    应对的措施包括日志的整合与报告、用户与设备隔离、实时行为展示、安全报表、威胁情报与威胁防御更新,这些都是软的技术以及一些内部流程来帮助在攻击发生后进行应对的,通过流程和记录来了解攻击从哪来,以及如何在后面发现他。然而,这其中人是重要因素,以及威胁情报和威胁防御的更新。但是这些技术的集合如何转化为实际的解决方案?

    Fortinet 的防御解决方案正是基于刚才我们所讲的三个步骤,彼此相扣,形成一个完整的闭环。不依靠某个产品或某项技术,而是Fortinet公司的整体技术方案。这些技术彼此整合,形成一个持续的预防,检测, 应对的完整的防御系统。

  那飞塔是如何将各种技术融合到一起形成解决方案呢?

APT防御走向立体化 看Fortinet如何应对
▲Fortinet APT防御解决方案

    Fortinet提供的解决方案是从多个维度来进行提供防护,比如FortiGate综合安全网关,涵盖了整个防御与检测阶段的全部技术,辅以FortiMail邮件信息安全网关,FortiWeb Web应用层防火墙从邮件信息的出入检测到Web服务器的访问防御、 FortiSEIM统一风险管理平台。

    面对APT的攻击,只有以上的防御技术还不足够,还是要依托于行为检测和分析技术,FortiSandbox沙盒产品正是提供了这些功能,且与Fortinet的以上产品形成联动。 Fortinet APT防御解决方案从边界到内网,从服务器到PC端,再从已知威胁到未知威胁,能够提供相对全面的安全保护。

  • IT168企业级IT168企业级
  • IT168文库IT168文库

扫码送文库金币

编辑推荐
系统架构师大会
系统架构师大会
点击或扫描关注
IT168企业级微信关注送礼
IT168企业级微信关注送礼
扫描关注
首页 评论 返回顶部