IT不再是企业业务的支撑,而是驱动力,例如云计算创新、BYOD高效办公。IT与业务结合越紧密,安全问题对业务造成的影响就越直接,而安全攻击本身越复杂,对业务开展造成的阻碍就越大。IT的效率和安全永远在博弈前进,而APT的出现,使得CIO/CISO心中的天平再次出现了倾斜,而且很难再恢复。
APT:安全防御的新难题
近两年发生的一些重大安全事件可以帮助我们理解CIO/CISO的这种担忧。伊朗核设施震网攻击:2010年7月,攻击者使用最新漏洞蠕虫软件对伊朗纳坦兹的核设施进行攻击,使得伊朗的布什尔核电站推迟启动。后续调查显示,这次攻击系美国针对铀浓缩设备的攻击;韩国银行APT攻击:2013年3月,黑客通过社交工程和恶意软件攻击多家金融机构,导致信息系统几乎瘫痪。后续调查显示,此次攻击系朝鲜所为,黑客至少用了8个月来策划,攻击次数达到1500次,受害计算机总数达48000台,黑客所植入的恶意软件共有76种。
可以看到,APT攻击主要针对的是一个国家和企业的核心利益,这和传统攻击明显不同。APT攻击与传统攻击的本质区别源于攻击的目的性、组织性和资源投入差异。APT攻击者属于精锐部队,精准持续攻击。而传统攻击者则属于散兵游勇,打一枪换个地方。APT防御是在和一个类似军队的组织对抗,这就是CIO/CISO不安的最大原因。
据统计,目前80%的APT攻击都是通过恶意软件来实施。另外,据CNCERT统计,相比2011年,2012年移动终端恶意软件增加了25倍,企业BYOD策略的实施,在企业防御墙上又开了一道口子,随着BYOD部署的深入,移动APT攻击会越来越频繁。所以,恶意文件检测很重要,目前业界APT防御主要基于此。
APT攻击者利用社会工程、外网探测、钓鱼网站、钓鱼邮件、PC恶意软件、BYOD移动设备恶意软件、内网探测扫描、AD身份盗用、网络端口盗用、流量加密等多种攻击手段,分多个阶段,绕过传统防火墙、入侵防御、防病毒等系统,长期隐藏于目标网络中,进行精准的信息窃取和破坏活动。因此,APT防御的目的是要检测整个APT攻击行为和路径,而不仅仅是其中的一个恶意软件手段。即使木桶的一块板再高,如果有其它短板,CIO/CISO的不安仍然不会消除。
华为无漏洞APT防御解决方案
由此可见,APT的防护,除了局部的恶意文件检测防护,还需要对网络和端点的异常行为进行关联协同分析,以检测APT,并能够快速实施全局的APT响应与控制。
基于这个思想,华为推出了无漏洞APT防御解决方案,全面防御APT威胁。它包括5大部分:网关、终端、云后台、沙箱,以及大数据分析系统。其中,网关提供网络APT检测与APT阻断控制功能;云后台和沙箱为网关扩展APT检测能力:签名检测、信誉检测和未知文件沙箱检测;终端提供端点侧的BYOD保护与APT控制功能;大数据行为分析系统则是APT防护的中枢,提供基于大数据的APT事件全局关联检测能力,并实现全局APT安全控制。
安全网关设备对网络数据进行3~7层的逐层检测,既保证全面的检测,又能实现高性能。数据报文到NGFW/IPS安全网关时,首先在IP层进行主机信誉过滤,之后经过IPS扫描检测和签名库检测过滤,数据文件通过安全设备AV签名匹配过滤,以及Web信誉、文件信誉、黑灰白名单匹配过滤,到这一步已经能够识别较多的APT攻击事件,最后未能识别的文件放入沙箱中检测,通过还原文件行为识别恶意文件。云后台通过集成沙箱的检测结果,加速更新主机信誉、Web信誉、文件信誉和IPS入侵库、AV病毒库,有效缩短零日威胁的时间窗。
沙箱技术是检测恶意文件的重要手段,华为经过将近5年积累,目前支持种类最全的沙箱:Windows PE沙箱、Web沙箱、重量级沙箱和Android沙箱,静态检测与动态检测相结合,同时威胁行为特征支持300左右,用以覆盖全面的未知文件威胁检测,例如Windows PE文件、PDF文件、Office文件、Web文件和图像文件,标准配置沙箱系统性能达到每天7万个文件,识别率达到99%以上,威胁响应时间在30s左右。
华为BYOD安全解决方案能够作为APT防御方案的一部分,提供MDM(移动设备管理)/NAC(网络接入控制)终端安全管控能力,有效降低了APT攻击的威胁。但是,APT并没有消除,例如移动设备在社交网站上下载了定向的恶意软件,这些恶意软件很容易通过Wi-Fi和VPN通道渗透到企业内网。因此,华为BYOD安全方案新增了基于移动Container沙箱的MAM(移动应用管理)方案,将移动应用进行单独隔离和安全策略管理。同时,大数据行为分析系统通过对BYOD PC终端和移动终端异常行为进行分析,结合网络侧异常行为的大数据分析结果,精确定位APT威胁,消除企业CIO/CISO对开展企业BYOD办公的疑虑,提升企业运作效率。
APT精确检测只是第一步,更重要的是应急响应与控制。华为APT解决方案分为两个层面,一个是局部的APT响应控制,一个是全局的APT响应控制。
安全网关设备在检测到扫描入侵、端口盗用、CC通道、恶意Web访问、钓鱼邮件、恶意文件下载等网络层威胁时,即时做出网络安全策略控制,简单而快速地消除APT安全隐患。但是这种控制只是局部的,安全管理员没有足够的信息来确认,在其它网络节点或者终端上是否有来自同一个APT组织的其它手段的攻击。而基于大数据全局检测结果,安全管理员能够迅速定位APT攻击的路径和已经感染、可能感染的终端的位置,并通过网关控制阻断APT网络攻击通道,并隔离修复被感染的BYOD移动终端。
例如来自某个国家的APT攻击,使用最新的恶意软件,绕过了安全网关,入侵到企业某个Wi-Fi接入的BYOD设备,行为分析系统通过大数据分析网关安全异常、端点异常,检测到了疑似APT攻击。此时安全管理员可以基于大数据检测结果,下发安全隔离策略给AnyOffice客户端和AC,在终端上隔离恶意软件,强制终端下线。
基于华为的IT实践和全球安全趋势分析,我们认为,最多3年以后,APT攻击将越来越具有隐蔽性,攻击者会逐步从使用恶意文件进行APT攻击转变到采用综合手段攻击,综合攻击最终会成为主流,用以绕过企业的沙箱检测手段,包括增加恶意软件的潜伏期、一次性使用恶意软件和恶意Web页面等等。这就需要APT方案能够在未来几年进行扩展,不仅需要使用沙箱技术,还需要使用大数据检测技术。
华为APT解决方案,在完整的框架下,优化单点防御能力,如领先的网关检测与控制产品,完善的沙箱检测技术、领先的BYOD安全防御方案,结合网络和端点的全局大数据分析技术,为客户提供无漏洞的APT检测与控制响应解决方案,使企业IT的安全与效率再一次真正恢复平衡。
