在互联网时代的高速列车上,安全威胁颇有点儿好莱坞大片的味道,黑客们以前所未有的(隐秘的)攻击手段频频出没企业“内外”。而在这背后,不仅仅是企业对于高级持续性威胁APT(Advanced Persistent Threat)的无奈,更体现了传统企业对外网防火墙、IPS等单一、传统网络安全防护手段的“过度依赖”。
面对日益严峻的网络安全态势,企业的安全建设必须与时俱进,并诉诸更强大的“武器”。为此,全球第三大网络安全公司Fortinet近日在京召开了以“APT防御解决方案”为主题的研讨会,从企业实际场景下APT的危害性特征入手,就如何运用具有普适价值的立体防御手段,搭建全局化、快速、安全的企业整体防御解决方案,展开了深入的探讨。
而除分享Fortinet集软件、硬件和服务三位于一体的安全防护策略之外,在产品演示环节,Fortinet的技术专家还模拟APT的攻击场景,对整体防御解决方案发现和排除未知威胁的过程进行了生动的介绍。在不可小觑的APT面前,Fortinet正在用更严密的访问控制、更细致的多重安全过滤和更敏锐的安全智能,帮助各个发展阶段的企业伙伴构筑起全面安全的网络环境,从容应对云计算和大数据下的安全挑战。
安全建设 从目标到策略的全面进化
APT从本质上改变了全球的网络安全形势,在美国国防部的网络策略里,对APT的检测和防御已经成为整个安全链条不可或缺的一部分,足见其危险系数之高。Fortinet中国北方区销售总监张媛说,APT具有极高的隐蔽性,通常是通过企业网络内部可信的应用程序漏洞来开展攻击,传统意义上的防火墙和IPS已经不能满足企业对APT的防御需求。
而对于APT的危害性特征,Fortinet中国区技术总监谭杰则进行了深度剖析。一如其名——高级持续性威胁,“高级”是指黑客采用多种技术手段和非技术手段(包括钓鱼、木马、僵尸、注入、DDoS、渗透、Oday、社会工程等)开展线上线下相结合的攻击;“持续”是指APT具有极强的隐蔽性,攻击者并不急于求成,而是非常耐心的利用漏洞进行几个月甚至一年以上的渗透,收集精确信息,探测各种隐患,定位关键数据;“威胁”是指其破坏的严重性。
Gartner统计显示,从黑客攻击到其被发现的平均时间长达229天之久,高达67%的受害者直到最后都未发现自己已经受到了黑客攻击。“诚然,大型企业的核心数据是APT的首要目标,但并不意味着中小企业就可以放松警惕,云计算大规模普及带来的数据集中,以及大数据环境下数据价值的提升,都使得APT的投入产出比日益可观。企业应假设自身正时刻处在持续的安全威胁之中,而企业网络安全建设的目标,也应当设定到能够防御APT的高度”。 谭杰特别强调到。
不断实践集软件、硬件和服务三个维度于一体的安全理念,用意打造适用于任何场景的整体安全解决方案,是Fortinet近年来实现快速增长的重要原因之一。谭杰强调,企业往往把80%的投资放在了边界安全上,而80%的安全问题却发生在内部,可见对APT的防御并不等同于边界安全,WiFi、4G、BYOD的普及正日益模糊内网和外网的分隔,边界已无处不在。面对更强大的对手,企业需要进化安全防御意识,搭建起包括严密的访问控制、多层次的威胁防御、0day的检测、沙盒、安全智能和安全管理等在内的综合防御体系。
更严密的访问控制 强大的内网防火墙
Fortinet认为,APT的本质就是一个不断提升权限的过程。比如首先获得一个外围权限(如供应商、合作伙伴、家人、朋友等),进而获得普通员工权限、管理层权限,最后是获得超级管理员(Root)权限。 因此,企业需要无处不在的防火墙,最严格情况下应该达到零信任的水平,同时还要运用更严格的身份认证手段确保访问安全。
而想要实现这一点,内网防火墙的存在就变得尤为重要了。与边界防火墙相比,内网防火墙要足以响应庞大的内部数据传输,同时要有较高的端口密度。FortiGate作为Fortinet最为用户熟知的防火墙产品,其新一代的ASIC芯片具备单片40G的防火墙吞吐能力,足以胜任内网防火墙的性能要求;而超高端口密度也是Fortinet防火墙产品的特色之处,如FortiGate-3000D系列,可提供多达40*10GE接口,防火墙吞吐量高达320Gbps,并支持100GE、40GE接口。
如今虚拟化在数据中心建设中的作用愈发重要,为此Fortinet也研发了一系列面向虚拟化的防火墙软件,并通过与国内外众多公有云平台开展合作,为企业提供公有云上的安全软件。而值得一提的是,Fortinet对虚拟化/SDN(软件定义网络)生态的建设,目前已经能够覆盖到几乎全部主流的虚拟化SDN平台。
在接入层安全(Connect&Secure)方面,Fortinet将其下一代防火墙的安全功能向下延伸,在FortiGate界面即可对有线交换机和无线AP进行统一管理,用户无需再去登陆其各自的管理界面。也就是说,接入企业网络的所有终端,都可以享受防火墙过滤、入级防御、病毒过滤、内容过滤、应用控制、流控等全面的安全功能,基于此,企业内网便可实现严格的细分,再结合双因子身份认证体系,可更有效地管控和规范BYOD的网络行为。
