应对APT攻击 沙盒不是绝对
APT攻击的整个过程,专业上称为杀手链(APT Kill Chain),其中包含了前文提到的各种攻击方法,因此对其进行探测和防御自然也需要结合多种安全技术。在此次研讨会上,Fortinet特别向与会代表展示了其沙盒产品FortiSandbox有效防御未知风险的能力。谭杰表示,黑客有很多手段会绕过企业现有的安全防御体系,如通过加密、混淆、0day的方法逃避安全体系的检查。一般的防火墙、IPS都是基于特征的检测,即通过匹配已知病毒库来判断现有文件的安全,这就意味着,未知的和没有特征的威胁将无法被检测到,此时就需要请出“沙盒”来帮忙。
沙盒的作用是基于行为(而不是基于特征)来判定威胁,那些被普通防御手段判断为正常的文件所进行的恶意行为,如访问恶意网站的行为,下载病毒的行为等等,会通过沙盒被识别出来。因此可以说,现阶段沙盒是APT防御中最终要的一环。
当然,沙盒虽然重要,但仅靠其来防护APT攻击,也是绝对不行的。对此,谭杰举了一个很形象的例子——APT防御好比一个国家的防御系统,光有核武器是不够的,还需要有常规的武器的配合,即安全防护应该是一个体系。因此Fortinet将自己的沙盒与FortiGate实现了联动,首先由FortiGate过滤掉已知病毒,接下来将可以文件发往FortiSandbox进行第二层过滤;此外,还可将其与FortiMail进行集成,或连接在交换机上进行镜像等等。
敏锐的安全智能 需要统一风险管理平台
APT让大量企业感到束手无策的另一原因是多个单点安全防护之间缺乏有效的“沟通”,这就是为什么不少企业斥资采购了诸多品牌的安全产品,还是难逃被APT的命运。而据Gartner的预计,到2020年时,纯粹的单点防御已经化为徒劳,企业需要的是安全智能。即企业安全需要从个体或单个组织的防御转化为信息共享+集体防御。对此,谭杰比喻为,在拥有了耳聪目明的强健身体后,一颗统揽全局、智慧敏锐的大脑更显得尤为重要。
Fortinet解决方案中的统一风险管理平台FortiSIEM,最擅长的就是应对跨品牌安全产品和设备环境下的管理难题,如海量日志信息、管理界面不统一等等。这颗“智慧的大脑”可帮助企业实现多个安全设备的统一升级,获得统一的可视化展示界面,并通过聚合、关联等大数据分析方法,从庞大的日志海洋中整合、提炼出最值得用户关注的关键安全事件,从而有效提高快速识别预警APT攻击的几率。
Fortinet:不止应对APT攻击
借助丰富的产品线优势和整合能力,Fortinet成功打造了APT“终结者”解决方案,让客户不再惧怕APT攻击。然而作为全球领先的整体安全解决方案供应商——Fortinet的目光不止盯在APT攻击上,而是希望打造整体的安全防护解决方案。为此,FortiGuard云网络正在为全球客户提供不断更新的动态安全支持,而据FortiGuard Labs统计,Fortinet每分钟能帮助全球客户捕获几万封垃圾邮件,抵御二十几万余次的网络入侵尝试等等。由此不难看出,为满足企业安全建设的发展性需求,守卫企业的运营安全,Fortinet正在不懈努力着!
