分析APT攻击的过程,我们发现从APT攻击第一步是控制终端,不论是通过什么方式,最终都是希望达到在终端上执行恶意代码的目的,在获取终端权限后,通过该终端进行远程控制,从而横向渗透,并最终将所需要的信息回传。在这个过程中,作为边界的安全设备NGFW,支持对Web、邮件和文件共享等的恶意代码检测,以及除支持PE文件之外的其他办公软件文件类型的恶意代码检测,对于检测和防御APT攻击至关重要。
APT攻击中的恶意代码有两大类,第一类是已知的恶意代码,这些恶意代码是针对已知的系统漏洞。虽然企业都知晓应该为系统漏洞按照最新的补丁,不过由于管理或者人力的问题,大多数的企业都很难随时更新到最新的修补程序。而作为深度融合了IPS能力的NGFW,提供一种主动实时的防护,基于漏洞的签名库,能精确防护2-7层的攻击行为,对恶意代码攻击进行准确的分析判断,阻止漏洞攻击的恶意流量,为企业网络提供“虚拟补丁”的作用,在APT攻击中,能准确的识别恶意代码的攻击。
另一大类的恶意代码是针对零日(0day)漏洞的恶意代码或者是未知的恶意代码,或者编写符合自己攻击目标,但能饶过现有防护者检测体系的特种木马,这些0day漏洞和特种木马,都是防护者或防护体系所未知的。
NGFW对未知威胁恶意代码的检测,一是依赖各种沙箱技术,包括手机沙箱、PE沙箱、web沙箱等,通过沙箱技术,构造一个虚拟化的环境,任何灰度的流量都可以装入一个隔离的沙箱中。通过提取流量中的相关代码,然后将代码放到沙箱中执行,在隔离的虚拟化的沙箱环境中分析恶意软件或恶意内容,可让安全人员实际看到恶意软件的运作模式。例如,如果怀疑电子邮件附件和URL藏有恶意软件,就可以将其放入沙箱,沙箱分析威胁相关信息,例如参与攻击的源头,被攻击的系统、域名、文件、URL及恶意软件等,借助这些信息,可以识别各种恶意代码,安全管理人员可以决定适当的防御措施,由于APT攻击途径多种多样,可以是邮件,可以是web,可能来源于手机应用等等,因此NGFW能否能提供全面的沙箱技术是防范APT攻击的关键。
沙箱技术已经成为业界解决APT攻击的基础,华为在这方面一直投入很多。那我们比其他厂商领先的地方在那呢?就是我们支持的沙箱种类更多、更全面,也就是说我们更能提供方法去有效抵御APT,比如说华为独家支持手机沙箱,能快速识别手机恶意威胁。
同时NGFW对未知威胁的检测,第二种技术是采用基于信誉体系的检测技术,识别各种文件和WEB的信誉。通过信誉分值的比对,就可以知道某个URL潜在的风险级别。当用户访问具有潜在风险的网站时,NGFW就可以及时提醒或阻止,可以高效的防护恶意网站和恶意文件对系统的攻击。同时NGFW在整个防御链(客户端-云检测端-云中心)承担着基础的、首要的检测任务。
NGFW通过和自身或者第三方的云检测系统进行同步获取最新的信誉信息。作为信誉体系的支撑,云检测系统核心是一套安全态势感知的自动化分析平台,该平台自动、高效、精确地对全球采集的恶意样本进行安全性分析和威胁判定,其中涉及流量识别、病毒检测、0-Day发现、钓鱼识别、Botnet分析、恶意网址分析等多个方面。在经过这些诸多检测手段的挖掘后,将其中有价值的样本进行进一步提炼,再对这些样本进行IP、域名、文件、URL、地理位置、Spam、用户ID、历史追踪等多个层面进行信誉标示并更新信誉库到云信誉检测&查询系统中,并同步到NGFW中,从事实现了NGFW对未知威胁的及时检测与防护。
华为NGFW依托于分布在中国深圳、北京、成都、杭州和印度班加罗尔世界级的安全研究中心,为APT攻击检测提供了基于云的强大信誉体系支持。