下一代防火墙(NGFW)如何防御APT攻击?

本文涉及的产品
云防火墙,500元 1000GB
简介:
本文讲的是 下一代防火墙(NGFW)如何防御APT攻击, 今日企业的 网络安全 正在面临前所未有的挑战,这主要来自于有组织、有特定目标、隐蔽性强、破坏力大、持续时间长的新型攻击和威胁,国际上称之为APT(Advanced Persistent Threat)攻击。随着iPad、智能 手机 等移动终端被广泛应用于企业,而基于移动设备的威胁呈几何倍数的增长,对终端防护更加处于失控的状态,APT 攻击者通过以智能 手机 平板电脑 等移动设备为跳板继而入侵企业信息系统的方式也显著增加。

  分析APT攻击的过程,我们发现从APT攻击第一步是控制终端,不论是通过什么方式,最终都是希望达到在终端上执行恶意代码的目的,在获取终端权限后,通过该终端进行远程控制,从而横向渗透,并最终将所需要的信息回传。在这个过程中,作为边界的安全设备NGFW,支持对Web、邮件和文件共享等的恶意代码检测,以及除支持PE文件之外的其他办公软件文件类型的恶意代码检测,对于检测和防御APT攻击至关重要。

  APT攻击中的恶意代码有两大类,第一类是已知的恶意代码,这些恶意代码是针对已知的系统漏洞。虽然企业都知晓应该为系统漏洞按照最新的补丁,不过由于管理或者人力的问题,大多数的企业都很难随时更新到最新的修补程序。而作为深度融合了IPS能力的NGFW,提供一种主动实时的防护,基于漏洞的签名库,能精确防护2-7层的攻击行为,对恶意代码攻击进行准确的分析判断,阻止漏洞攻击的恶意流量,为企业网络提供“虚拟补丁”的作用,在APT攻击中,能准确的识别恶意代码的攻击。

  另一大类的恶意代码是针对零日(0day)漏洞的恶意代码或者是未知的恶意代码,或者编写符合自己攻击目标,但能饶过现有防护者检测体系的特种木马,这些0day漏洞和特种木马,都是防护者或防护体系所未知的。

  NGFW对未知威胁恶意代码的检测,一是依赖各种沙箱技术,包括手机沙箱、PE沙箱、web沙箱等,通过沙箱技术,构造一个虚拟化的环境,任何灰度的流量都可以装入一个隔离的沙箱中。通过提取流量中的相关代码,然后将代码放到沙箱中执行,在隔离的虚拟化的沙箱环境中分析恶意软件或恶意内容,可让安全人员实际看到恶意软件的运作模式。例如,如果怀疑电子邮件附件和URL藏有恶意软件,就可以将其放入沙箱,沙箱分析威胁相关信息,例如参与攻击的源头,被攻击的系统、域名、文件、URL及恶意软件等,借助这些信息,可以识别各种恶意代码,安全管理人员可以决定适当的防御措施,由于APT攻击途径多种多样,可以是邮件,可以是web,可能来源于手机应用等等,因此NGFW能否能提供全面的沙箱技术是防范APT攻击的关键。

  沙箱技术已经成为业界解决APT攻击的基础,华为在这方面一直投入很多。那我们比其他厂商领先的地方在那呢?就是我们支持的沙箱种类更多、更全面,也就是说我们更能提供方法去有效抵御APT,比如说华为独家支持手机沙箱,能快速识别手机恶意威胁。

  同时NGFW对未知威胁的检测,第二种技术是采用基于信誉体系的检测技术,识别各种文件和WEB的信誉。通过信誉分值的比对,就可以知道某个URL潜在的风险级别。当用户访问具有潜在风险的网站时,NGFW就可以及时提醒或阻止,可以高效的防护恶意网站和恶意文件对系统的攻击。同时NGFW在整个防御链(客户端-云检测端-云中心)承担着基础的、首要的检测任务。

  NGFW通过和自身或者第三方的云检测系统进行同步获取最新的信誉信息。作为信誉体系的支撑,云检测系统核心是一套安全态势感知的自动化分析平台,该平台自动、高效、精确地对全球采集的恶意样本进行安全性分析和威胁判定,其中涉及流量识别、病毒检测、0-Day发现、钓鱼识别、Botnet分析、恶意网址分析等多个方面。在经过这些诸多检测手段的挖掘后,将其中有价值的样本进行进一步提炼,再对这些样本进行IP、域名、文件、URL、地理位置、Spam、用户ID、历史追踪等多个层面进行信誉标示并更新信誉库到云信誉检测&查询系统中,并同步到NGFW中,从事实现了NGFW对未知威胁的及时检测与防护。

  华为NGFW依托于分布在中国深圳、北京、成都、杭州和印度班加罗尔世界级的安全研究中心,为APT攻击检测提供了基于云的强大信誉体系支持。


作者: 杜继华
来源:it168网站
原文标题:下一代防火墙(NGFW)如何防御APT攻击?
相关文章
|
7月前
|
运维 监控 安全
F5防火墙如何应对恶意攻击?一文搞懂
F5防火墙如何应对恶意攻击?一文搞懂
119 0
|
2月前
|
运维 监控 安全
安全运维:入侵检测与防御实战指南
安全运维:入侵检测与防御实战指南 【10月更文挑战第9天】
139 3
|
2月前
|
监控 网络协议 Shell
ip和ip网段攻击拦截系统-绿叶结界防火墙系统shell脚本
这是一个名为“小绿叶技术博客扫段攻击拦截系统”的Bash脚本,用于监控和拦截TCP攻击。通过抓取网络数据包监控可疑IP,并利用iptables和firewalld防火墙规则对这些IP进行拦截。同时,该系统能够查询数据库中的白名单,确保合法IP不受影响。此外,它还具备日志记录功能,以便于后续分析和审计。
62 6
|
4月前
|
监控 安全 Linux
在Linux中,如何使用Snort进行入侵检测和防御?
在Linux中,如何使用Snort进行入侵检测和防御?
|
5月前
|
机器学习/深度学习 SQL 运维
网络安全中的入侵检测与防御系统技术探讨
【7月更文挑战第8天】 入侵检测与防御系统是网络安全的重要组成部分,它们通过实时监测和防御网络及系统中的恶意行为,为网络安全提供了重要保障。随着技术的不断发展,IDPS将在未来发挥更加重要的作用,为我们构建一个更加安全、可信的网络环境。
|
6月前
|
机器学习/深度学习 人工智能 安全
人工智能在网络安全中的入侵检测与防御
人工智能在网络安全中的入侵检测与防御
|
安全 Unix 网络安全
《计算机系统与网络安全》第十一章 入侵检测与防御技术
《计算机系统与网络安全》第十一章 入侵检测与防御技术
124 0
|
7月前
|
运维 监控 安全
安全防御之入侵检测与防范技术
安全防御中的入侵检测与防范技术主要涉及到入侵检测系统(IDS)和入侵防御技术(IPS)。 入侵检测系统(IDS)是一种对入侵行为自动进行检测、监控和分析的软件与硬件的组合系统。IDS通过从计算机网络或系统中的若干关键点收集信息,并对其进行分析,从中发现网络或系统中是否有违反安全策略的行为和遭到攻击的迹象。 入侵防御技术(IPS)是一种主动的安全防御技术,旨在防止恶意软件入侵和数据泄露。它通过实时监测和拦截网络流量中的威胁,保护网络和系统免受攻击。
205 0
|
7月前
|
SQL 监控 安全
阿里云国际站代理商:云防火墙这个防御状态现在不提供选择拦截,只能默认吗?
@luotuoemo 飞机@TG 【聚搜云】服务器运维专家! 云防火墙是阿里云为用户提供的一种网络安全防护服务,主要通过对网络流量的监控、分析和过滤,实现对恶意攻击、异常访问等行为的防御。云防火墙可以帮助企业有效抵御DDoS攻击、SQL注入、XSS跨站脚本攻击等常见网络安全威胁,保护企业的业务稳定运行。
阿里云国际站代理商:云防火墙这个防御状态现在不提供选择拦截,只能默认吗?
|
SQL JSON 安全
基于JSON的SQL注入攻击触发需要更新Web应用程序防火墙
基于JSON的SQL注入攻击触发需要更新Web应用程序防火墙