沙箱安全解决方案研华.docx

Fortinet公司 PAGE 2 研华科技安全沙箱项目 Fortinet APT解决方案 2015年11月 目录 TOC \o 1-3 一、APT高级持续性威胁介绍 PAGEREF _Toc308282283 \h 3 二、Fortinet ATP防御 PAGEREF _Toc308282284 \h 4 三、如何进行APT攻击防御 PAGEREF _Toc308282285 \h 5 3.1 APT恶意代码分类 PAGEREF _Toc308282286 \h 5 3.2 沙箱简介 PAGEREF _Toc308282287 \h 6 3.3 沙箱挑战 PAGEREF _Toc308282288 \h 7 四、Fortinet针对研华APT解决方案 PAGEREF _Toc308282289 \h 8 4.1部署方式 PAGEREF _Toc308282290 \h 8 4.2 FortiSandbox简介 PAGEREF _Toc308282291 \h 10 4.3 FortiSandbox解决常见沙箱的技术难题 PAGEREF _Toc308282292 \h 11 4.4 FortiGuard学习 PAGEREF _Toc308282293 \h 11 五、Fortinet优势 PAGEREF _Toc308282294 \h 12 5.1安全与性能 PAGEREF _Toc308282295 \h 12 5.2灵活的部署 PAGEREF _Toc308282296 \h 12 5.3投资回报率高 PAGEREF _Toc308282297 \h 12  一、APT高级持续性威胁介绍 随着更全面的安全应用程序和 HYPERLINK /database/ \t _blank 数据库技术的迅猛发展，研华科技现在有了更多的方法来进行实时的身份监控、权限和证书检查。然而，日渐复杂的安全问题依然有增无减，使得其带来的威胁仍然不容忽视。云计算的产生将给 HYPERLINK / \t _blank 互联网带来天翻地覆的变化，研华科技坚定不移的走上了云计算道路的大趋势将不会受到任何挑战，但数据保护和虚拟环境中的风险管理却让人望而却步，毋庸置疑在云计算的发展道路上，安全问题已经成为了它最大的“绊脚石”。 高级持续性威胁(Advanced Persistent Threat，APT)，威胁着研华科技的数据安全。APT是黑客以窃取核心资料为目的，针对客户所发动的网络攻击和侵袭行为，是一种蓄谋已久的“恶意商业间谍威胁”。这种行为往往经过长期的经营与策划，并具备高度的隐蔽性。APT的攻击手法，在于隐匿自己，针对特定对象，长期、有计划性和组织性地窃取数据，这种发生在数字空间的偷窃资料、搜集情报的行为，就是一种“网络间谍”的行为。这种攻击行为首先具有极强的隐蔽能力，通常是利用研华科技或机构网络中受信的应用程序漏洞来形成攻击者所需CC网络;其次APT攻击具有很强的针对性，攻击触发之前通常需要收集大量关于用户业务流程和目标系统使用情况的精确信息，情报收集的过程更是社工艺术的完美展现;当然针对被攻击环境的各类0day收集更是必不可少的环节。 在已经发生的典型的APT攻击中，攻击者经常会针对性的进行为期几个月甚至更长时间的潜心准备，熟悉用户网络坏境，搜集应用程序与业务流程中的安全隐患，定位关键信息的存储位置与通信方式，整个惊心动魄的过程绝不逊于好莱坞巨制《偷天换日》。当一切的准备就绪，攻击者所锁定的重要信息便会从这条秘密通道悄无声息的转移。例如，在某台服务器端成功部署Rootkit后，攻击者便会通过精心构造的CC网络定期回送目标文件进行审查。 二、Fortinet ATP防御 为了防御新型恶意软件和APT攻击，仅仅依赖传统的防病毒软件是远远不够的，必须结合多种安全技术，建立覆盖网络和终端的立体防御体系，从各个可能的入口进行封堵。 Fortinet针对APT攻击的安全解决方案在防病毒技术的技术上进行了大量扩充和延伸，称之为ATP（高级威胁防御）。Fortinet的ATP主要包括以下特性： 恶意软件特征检测及过滤 双重沙箱（本地及云端）检测0day威胁 僵尸网络防御 IPS（入侵防御） 文件类型过滤  三、如何进行APT攻击防御 3.1 APT恶意代码分类 APT攻击中的恶意代码有两大类 第一类是已知的恶意代码，这些恶意代码是针对已知的系统漏洞。虽然研华科技都知晓应该为系统漏洞按照必威体育精装版的补丁，不过由于管理或者人力的问题，大多数的研华科技都很难随时更新到必威体育精装版的修补程序。 另一大类的恶意代码是针对零日(0day)漏洞的恶意代码或者是未知的恶意代码，或者编写符合自己攻击目标，但能饶过现有防护者检测体系的特种 HYPER