先模擬、後化解!雲端 Honeypot + Sandbox = 防禦未知威脅
進階持續性威脅 (Advanced Persistent Threat,簡稱 APT)可以說得上是令企業最為頭痛的問題,原因是 APT 攻擊往往會通過對目標進行詳細的分析及調查後才發動,因此命中率極高,而且企業亦較難以預測。不過隨著虛擬技術愈來愈成熟,而這種虛擬化亦正正應用到網絡威脅的範疇之中。
要數最為人熟悉,就是當年因 Google Chrome 率先高調宣傳的沙盒防禦技術,而這種技術一直以來均被廣泛應用於各種零日攻擊防禦方案之中。所謂的零日攻擊就是指一些新出現,而且並未有任何解決方案的網絡威脅,面對這些威脅,企業可以做的就是盡可能將其隔離,而這時候虛擬化技術便可以幫到你。
近日多家安全廠商均推出針對 APT 攻擊的防禦方案,其中 Fortinet 以及 WatchGuard 分別推出類似方案;先不說 Fortinet,我們暫且介紹一下 WatchGuard 推出的相應方案 - WatchGuard APT Blocker。
WatchGuard APT Blocker 可識別出可疑的檔案,然後便會將它們傳送到雲端上的新一代「沙盒」 (sandbox),利用全系統模擬環境,偵測 APT 與空窗期 (Zero Day) 惡意程式。新方案同時整合了可視性工具 WatchGuard Dimension,以單一視圖即時展示進階威脅。
上述提及的全系統模擬環境,簡單一點便是所謂的 Honeypot,通過於雲端部署大家常用的系統(如 Windows XP)又或者刻意不進行系統更新,以吸引黑客錯誤地進行攻擊,而從中專家便可收集到一定的攻擊數據、檔案,從而於最短時間內研究出解決辦法。
一直以來,APT 的目標都是政府機關與大型企業的關鍵基建,使它們受盡 Stuxnet 蠕蟲病毒和 Duqu 惡意程式等攻擊。不過,現時進階威脅已經開始將小型機構及公司當作目標,破壞力更絲毫不減;現時 APT Blocker 已正式上市,並於 WatchGuard Fireware 安全平台 11.9 版本提供了三十天免費試用。
WatchGuard Fireware 11.9 版本的其他特點:
– 增強應用流量管理,讓用戶監控應用頻寬,從而將適當頻寬保留給關鍵的業務應用
– 擴展系統管理員審查和變更追蹤可視性可進一步遵循 HIPAA 及 PCI 規範,包括將防火牆規條變更與個別人士連繫
– 企業可在 WatchGuard DLP 方案廣泛的預先定義規則組合上自訂 DLP 特徵
– 加強 IPv6 支援,包括鏈路聚合、VLANS 和動態路由
– 自訂網絡區域,讓網絡管理員迅速區隔無線訪客網絡,且符合內置無線連接功能的設備的 PCI 標準要求。