事实上,APT攻击并不是一种新的攻击行为,而是利用各种攻击手段,针对某个特定目标发起的持续性的攻击。区别于过去僵尸网络的被动攻击,APT攻击的目的性十分明确。
APT攻击一般流程
◆第一步:攻击者通过各种途径收集用户相关信息,包括从外部扫描了解信息以及从内部利用社会工程学了解相关用户信息;
◆第二步:攻击者通过包括漏洞攻击、Web攻击等各种攻击手段入侵目标系统,采用低烈度的攻击模式避免目标发现以及防御;
◆第三步:攻击者通过突破内部某一台服务器或终端电脑渗透进内部网络,进而对目标全网造成危害;
◆第四步:攻击者逐步了解全网结构及获取更高权限后锁定目标资产,进而开始对数据进行窃取或者造成其他重大侵害。
下一代防火墙如何防御APT攻击?
区别于传统的网络安全解决方案,下一代防火墙并不是割裂的分析每个攻击的行为,而是站在更高的角度审视整个攻击过程,从各个攻击步骤进行逐个击破以达到防御APT攻击的目的。
据了解,国内第一家发布下一代防火墙厂商深信服科技公司的下一代防火墙(NGAF)产品能够通过对APT攻击的每一步进行防御并阻断攻击者的APT攻击,达到综合防御统一分析的效果。
深信服下一代防火墙主要通过以下几个方向对APT攻击进行抑制和防御:
信息收集防御:通过WAF、IPS等模块防御具有网络行为的信息收集、弱密码探测、端口扫描、扫描软件探测等; 通过敏感信息防泄漏模块防御敏感信息收集,包括用户个人信息、账号信息、密码信息等资料;通过主动扫描和被动扫描模块提前进行系统风险评估,及时对可能被 利用的漏洞信息进行修复,实现事前风险防护。
入侵防御:通过WAF模块解决Web架构下SQL、XSS、Webshell等安全问题和敏感文件泄漏、目录泄漏、源代码泄漏等信息泄漏问题;通过IPS模块解决缓冲区溢出攻击、0day漏洞攻击、应用系统/操作系统漏洞等问题;
异常流量分析及防御:AV防病毒模块通过特征匹配方式定位已知病毒;恶意流量识别模块通过流量行为分析,发现多种类型的恶意流量,其中包括访问异常(IP地址、访问频率、协议类型等)、基于恶意URL、基于恶意IP地址、基于协议规范性等;
智能引擎联动:APT攻击需要多种步骤,当发现恶意行为后,智能引擎联动能够自动切断该IP的攻击,防止进一步攻击。对于内网IP发现行为异常后,隔离该主机,防止影响内网安全;
智能联动分析:深信服下一代防火墙多个安全防护模块统一生成一份安全报表,便于用户分析及了解内部安全状况,从而分析出可疑流量并协助用户解决安全问题;