新闻与活动

深信服安全云平台 助您快速响应未知威胁

2015-7-10 11:54:05

  随着“极光事件”“震网事件”等网络安全事件呈现在公众面前,一种名为APT(Advanced Persistent Threat高级持续性威胁)的新型威胁受到人们越来越多的关注,由此发动的攻击则称为APT攻击。


APT攻击

  APT攻击是指黑客以窃取核心资料为目的,利用先进的攻击手段对特定目标实施长期、持续的网络攻击的行为,具备针对性、先进性、持续性和隐蔽性等特点。黑客发动APT攻击之前,会大量收集被攻击对象的业务流程和目标系统使用情况的精确信息,挖掘被攻击对象的受信系统和应用程序的漏洞,并利用这些漏洞对目标对象的网络进行渗透,渗透成功后组建攻击者所需的C&C(命令与控制服务器)网络环境。通常,攻击者是利用挖掘到的系统0Day漏洞发起APT攻击,APT攻击的典型流程如下:

  1.利用社交工程技术锁定特定人群,如某政府员工或某银行员工等。

  2.以该部分人群为突破口,通过发送钓鱼邮件等诱使其下载执行恶意程序,控制内网主机令其沦为僵尸网络的肉鸡,并以此为据点。

  3.该据点可以和黑客的命令控制服务器进行通信,获取进一步的指示命令。

  4.黑客通过已被控制的据点进行扩散、渗透和探测,最终找寻到攻击目标(数据服务器等)。

  5.从攻击目标中获取资产/数据等重要信息。

  6.通过建立隐蔽的数据传输通道,黑客把获取到的数据直接传输出去,从而造成数据泄露。


APT攻击示意图


  全球最具权威的IT咨询机构Gartner指出,APT的“高级”体现在它可以轻松绕过现有防护;“持续性”是指它可以成功避开现有的检测技术;“威胁”则是指它的高危害性。

  由于APT攻击具备单点隐藏能力强、攻击空间路径不确定、攻击渠道不确定等特点,基于特征匹配的传统防御技术并无法有效防御APT攻击。面对APT攻击,用户需要更完善、更主动、更智能的安全防御体系。为帮助用户有效抵御APT攻击,深信服依托自主研发的安全云平台,将深信服下一代防火墙与深信服安全云平台进行联动,构建了针对APT攻击的云安全防御体系。


深信服安全云平台

  从APT攻击流程不难看出,APT攻击的首要目的是将目标环境控制成僵尸网络,而后通过僵尸网络进一步渗透攻击,窃取被攻击对象的核心数据。深信服安全专家经过研究发现,防止APT攻击的最有效方法是在APT攻击流程的第二步和第三步实现有效控制。即:

  防止黑客制造僵尸网络——拦截挂马、水坑等恶意代码链接,避免终端成为肉鸡。

  定位受感染计算机终端——识别受僵尸病毒感染的终端。


  深信服安全云平台包含未知威胁云检测和僵尸网络云检测两大核心功能,深信服安全专家利用时下最具影响力的云安全技术将单设备防护扩大至整体云防护,所有接入深信服安全云平台的深信服下一代防火墙NGAF都能及时获取云平台对威胁的分析信息和防护规则。

  同时,部署在客户端的NGAF丰富的收集能力和云平台强大的关联分析能力,令深信服云安全防御体系形成“云+端”的特有机制,可有效且及时地防御APT攻击。



深信服安全云平台“云+端”的特有机制


未知威胁云检测

  深信服安全专家通过对大量APT样本进行捕获和分析,发现传统防火墙、IPS、防病毒网关等防护设备串联部署的传统解决方案无法抵御APT攻击的最主要原因,在于APT攻击采用的攻击方式具备针对性、持续性和多样性等特点,并常常以系统0Day漏洞作为突破口。而传统防火墙、IPS等多采用基于签名等的黑白名单检测机制,以已知漏洞、病毒作为主要防护目标,因此并无法及时、有效地识别APT攻击。


  深信服云安全防御体系的“云+端”机制,可直接在用户的网络出口检测和阻断APT样本及其它病毒、木马向用户内网传播和渗透,无需过多消耗客户端设备的性能和带宽。未知威胁云检测具体流程:

  1.部署在用户网络出口的NGAF具备特征库检测和可疑流量识别功能,通过特征库检测将网络中的流量划分为黑、白、未知流量,并对未知流量进行可疑流量识别,将识别出的可疑流量的有效信息上报深信服安全云平台进行鉴定。

  2.云平台对上报的可疑流量进行静态扫描、动态虚拟运行和危险行为鉴定,最终判定流量的黑白情况。云平台可将流量的分析结果及时反馈给部署在用户网络出口的NGAF,并提供详细的流量分析报告,令用户对网络中流量的情况一目了然。

  3.当云平台发现上传流量存在安全威胁时,将立即生成防护规则下发到上传该流量的NGAF上,并将防护规则同步下发至全球所有接入云平台的NGAF设备上,令其能够有效抵御各类网络威胁。


  深信服安全云平台不仅支持对木马、后门及挂马网页等常见的APT攻击方式进行分析鉴定,还支持对APK文件进行检测,防止黑客利用安卓系统的手机、平板等移动办公设备来渗透用户内网。



深信服未知威胁云检测中心



僵尸网络云检测

  从APT攻击流程可以看到,APT攻击的第二步是使被控制的PC终端沦为僵尸主机,甚至通过将僵尸病毒扩散到用户内网,使用户的网络沦为僵尸网络。因此,通过识别僵尸网络、定位肉鸡防御APT攻击,也是一种有效的方法。僵尸网络云检测具体流程:

  1.部署在用户网络中的NGAF通过病毒行为特征匹配、信誉库匹配、内网终端与命令控制服务器通信行为分析,可有效识别内网僵尸网络主机。对于无法识别的流量信息,NGAF通过可疑通信识别,收集可疑信息上报云平台。

  2.云平台通过对上传的可疑流量进行信誉分析、关联分析判断流量的网络信息,并最终入库云平台的信誉库。

  3.云平台还会大量收集有效病毒样本进行病毒网络特征分析,并将病毒分析提供给全球所有在线部署的NGAF进行信息共享,以丰富部署在客户端的NGAF的病毒行为特征,提升所有NGAF识别僵尸网络的能力。



深信服僵尸网络云检测示意图


  截止至2015年3月,深信服安全云平台累计收到9000多万条可疑威胁流量,分析出20多万条存在威胁的流量,生成并同步下发的安全防护规则累计拦截了500多万次的恶意访问请求。深信服下一代防火墙NGAF与深信服安全云平台进行联动,可有效帮助用户抵御APT攻击、利用0Day漏洞发起的攻击以及识别僵尸网络,为用户提供了全面的安全防护体系。

  • 产品试用
  • 典型案例
  • 订阅资讯

联系我们

联系我们