钢筋调直机厂家
免费服务热线

Free service

hotline

010-00000000
钢筋调直机厂家
热门搜索:
技术资讯
当前位置:首页 > 技术资讯

BYOD趋势下的APT防御之道

发布时间:2020-06-30 20:19:23 阅读: 来源:钢筋调直机厂家

IT不再是企业业务的支撑,而是驱动力,例如云计算创新、BYOD高效办公。IT与业务结合越紧密,安全问题对业务造成的影响就越直接,而安全攻击本身越复杂,对业务开展造成的阻碍就越大。IT的效率和安全永远在博弈前进,而APT的出现,使得CIO/CISO心中的天平再次出现了倾斜,而且很难再恢复。

APT:安全防御的新难题近两年发生的一些重大安全事件可以帮助我们理解CIO/CISO的这种担忧。伊朗核设施震网攻击:2010年7月,攻击者使用最新漏洞蠕虫软件对伊朗纳坦兹的核设施进行攻击,使得伊朗的布什尔核电站推迟启动。后续调查显示,这次攻击系美国针对铀浓缩设备的攻击;韩国银行APT攻击:2013年3月,黑客通过社交工程和恶意软件攻击多家金融机构,导致信息系统几乎瘫痪。后续调查显示,此次攻击系朝鲜所为,黑客至少用了8个月来策划,攻击次数达到1500次,受害计算机总数达48000台,黑客所植入的恶意软件共有76种。

可以看到,APT攻击主要针对的是一个国家和企业的核心利益,这和传统攻击明显不同。APT攻击与传统攻击的本质区别源于攻击的目的性、组织性和资源投入差异。APT攻击者属于精锐部队,精准持续攻击。而传统攻击者则属于散兵游勇,打一枪换个地方。APT防御是在和一个类似军队的组织对抗,这就是CIO/CISO不安的最大原因。

据统计,目前80%的APT攻击都是通过恶意软件来实施。另外,据CNCERT统计,相比2011年,2012年移动终端恶意软件增加了25倍,企业BYOD策略的实施,在企业防御墙上又开了一道口子,随着BYOD部署的深入,移动APT攻击会越来越频繁。所以,恶意文件检测很重要,目前业界APT防御主要基于此。

APT攻击者利用社会工程、外网探测、钓鱼网站、钓鱼邮件、PC恶意软件、BYOD移动设备恶意软件、内网探测扫描、AD身份盗用、网络端口盗用、流量加密等多种攻击手段,分多个阶段,绕过传统防火墙、入侵防御、防病毒等系统,长期隐藏于目标网络中,进行精准的信息窃取和破坏活动。因此,APT防御的目的是要检测整个APT攻击行为和路径,而不仅仅是其中的一个恶意软件手段。即使木桶的一块板再高,如果有其它短板,CIO/CISO的不安仍然不会消除。

华为无漏洞APT防御解决方案由此可见,APT的防护,除了局部的恶意文件检测防护,还需要对网络和端点的异常行为进行关联协同分析,以检测APT,并能够快速实施全局的APT响应与控制。

基于这个思想,华为推出了无漏洞APT防御解决方案,全面防御APT威胁。它包括5大部分:网关、终端、云后台、沙箱,以及大数据分析系统。其中,网关提供网络APT检测与APT阻断控制功能;云后台和沙箱为网关扩展APT检测能力:签名检测、信誉检测和未知文件沙箱检测;终端提供端点侧的BYOD保护与APT控制功能;大数据行为分析系统则是APT防护的中枢,提供基于大数据的APT事件全局关联检测能力,并实现全局APT安全控制。

安全网关设备对网络数据进行3~7层的逐层检测,既保证全面的检测,又能实现高性能。数据报文到NGFW/IPS安全网关时,首先在IP层进行主机信誉过滤,之后经过IPS扫描检测和签名库检测过滤,数据文件通过安全设备AV签名匹配过滤,以及Web信誉、文件信誉、黑灰白名单匹配过滤,到这一步已经能够识别较多的APT攻击事件,最后未能识别的文件放入沙箱中检测,通过还原文件行为识别恶意文件。云后台通过集成沙箱的检测结果,加速更新主机信誉、Web信誉、文件信誉和IPS入侵库、AV病毒库,有效缩短零日威胁的时间窗。

沙箱技术是检测恶意文件的重要手段,华为经过将近5年积累,目前支持种类最全的沙箱:Windows PE沙箱、Web沙箱、重量级沙箱和Android沙箱,静态检测与动态检测相结合,同时威胁行为特征支持300左右,用以覆盖全面的未知文件威胁检测,例如Windows PE文件、PDF文件、Office文件、Web文件和图像文件,标准配置沙箱系统性能达到每天7万个文件,识别率达到99%以上,威胁响应时间在30s左右。

华为BYOD安全解决方案能够作为APT防御方案的一部分,提供MDM(移动设备管理)/NAC(网络接入控制)终端安全管控能力,有效降低了APT攻击的威胁。但是,APT并没有消除,例如移动设备在社交网站上下载了定向的恶意软件,这些恶意软件很容易通过Wi-Fi和VPN通道渗透到企业内网。因此,华为BYOD安全方案新增了基于移动Container沙箱的MAM(移动应用管理)方案,将移动应用进行单独隔离和安全策略管理。同时,大数据行为分析系统通过对BYOD PC终端和移动终端异常行为进行分析,结合网络侧异常行为的大数据分析结果,精确定位APT威胁,消除企业CIO/CISO对开展企业BYOD办公的疑虑,提升企业运作效率。

APT精确检测只是第一步,更重要的是应急响应与控制。华为APT解决方案分为两个层面,一个是局部的APT响应控制,一个是全局的APT响应控制。

安全网关设备在检测到扫描入侵、端口盗用、CC通道、恶意Web访问、钓鱼邮件、恶意文件下载等网络层威胁时,即时做出网络安全策略控制,简单而快速地消除APT安全隐患。但是这种控制只是局部的,安全管理员没有足够的信息来确认,在其它网络节点或者终端上是否有来自同一个APT组织的其它手段的攻击。而基于大数据全局检测结果,安全管理员能够迅速定位APT攻击的路径和已经感染、可能感染的终端的位置,并通过网关控制阻断APT网络攻击通道,并隔离修复被感染的BYOD移动终端。

例如来自某个国家的APT攻击,使用最新的恶意软件,绕过了安全网关,入侵到企业某个Wi-Fi接入的BYOD设备,行为分析系统通过大数据分析网关安全异常、端点异常,检测到了疑似APT攻击。此时安全管理员可以基于大数据检测结果,下发安全隔离策略给AnyOffice客户端和AC,在终端上隔离恶意软件,强制终端下线。

基于华为的IT实践和全球安全趋势分析,我们认为,最多3年以后,APT攻击将越来越具有隐蔽性,攻击者会逐步从使用恶意文件进行APT攻击转变到采用综合手段攻击,综合攻击最终会成为主流,用以绕过企业的沙箱检测手段,包括增加恶意软件的潜伏期、一次性使用恶意软件和恶意Web页面等等。这就需要APT方案能够在未来几年进行扩展,不仅需要使用沙箱技术,还需要使用大数据检测技术。

华为APT解决方案,在完整的框架下,优化单点防御能力,如领先的网关检测与控制产品,完善的沙箱检测技术、领先的BYOD安全防御方案,结合网络和端点的全局大数据分析技术,为客户提供无漏洞的APT检测与控制响应解决方案,使企业IT的安全与效率再一次真正恢复平衡。

德州制做西装

东营制做西装

日照防静电工作服定做

临沂定制劳保工服