研华科技安全沙箱项目Fortinet APT解决方案2015年11月目录一、APT高级持续性威胁介绍..................................... 错误!未定义书签。

二、Fortinet ATP防御.......................................... 错误!未定义书签。

三、如何进行APT攻击防御 ...................................... 错误!未定义书签。

APT恶意代码分类.............................................. 错误!未定义书签。

沙箱简介..................................................... 错误!未定义书签。

沙箱挑战..................................................... 错误!未定义书签。

四、Fortinet针对研华APT解决方案.............................. 错误!未定义书签。

部署方式...................................................... 错误!未定义书签。

FortiSandbox简介............................................. 错误!未定义书签。

FortiSandbox解决常见沙箱的技术难题........................... 错误!未定义书签。

FortiGuard学习............................................... 错误!未定义书签。

五、Fortinet优势.............................................. 错误!未定义书签。

安全与性能.................................................... 错误!未定义书签。

灵活的部署.................................................... 错误!未定义书签。

投资回报率高.................................................. 错误!未定义书签。

一、APT高级持续性威胁介绍随着更全面的安全应用程序和数据库技术的迅猛发展，研华科技现在有了更多的方法来进行实时的身份监控、权限和证书检查。

然而，日渐复杂的安全问题依然有增无减，使得其带来的威胁仍然不容忽视。

云计算的产生将给互联网带来天翻地覆的变化，研华科技坚定不移的走上了云计算道路的大趋势将不会受到任何挑战，但数据保护和虚拟环境中的风险管理却让人望而却步，毋庸置疑在云计算的发展道路上，安全问题已经成为了它最大的“绊脚石”。

高级持续性威胁(Advanced Persistent Threat，APT)，威胁着研华科技的数据安全。

APT是黑客以窃取核心资料为目的，针对客户所发动的网络攻击和侵袭行为，是一种蓄谋已久的“恶意商业间谍威胁”。

这种行为往往经过长期的经营与策划，并具备高度的隐蔽性。

APT的攻击手法，在于隐匿自己，针对特定对象，长期、有计划性和组织性地窃取数据，这种发生在数字空间的偷窃资料、搜集情报的行为，就是一种“网络间谍”的行为。

这种攻击行为首先具有极强的隐蔽能力，通常是利用研华科技或机构网络中受信的应用程序漏洞来形成攻击者所需C&C网络;其次APT攻击具有很强的针对性，攻击触发之前通常需要收集大量关于用户业务流程和目标系统使用情况的精确信息，情报收集的过程更是社工艺术的完美展现;当然针对被攻击环境的各类0day收集更是必不可少的环节。

在已经发生的典型的APT攻击中，攻击者经常会针对性的进行为期几个月甚至更长时间的潜心准备，熟悉用户网络坏境，搜集应用程序与业务流程中的安全隐患，定位关键信息的存储位置与通信方式，整个惊心动魄的过程绝不逊于好莱坞巨制《偷天换日》。

当一切的准备就绪，攻击者所锁定的重要信息便会从这条秘密通道悄无声息的转移。

例如，在某台服务器端成功部署Rootkit后，攻击者便会通过精心构造的C&C网络定期回送目标文件进行审查。

二、Fortinet ATP防御为了防御新型恶意软件和APT攻击，仅仅依赖传统的防病毒软件是远远不够的，必须结合多种安全技术，建立覆盖网络和终端的立体防御体系，从各个可能的入口进行封堵。

Fortinet针对APT攻击的安全解决方案在防病毒技术的技术上进行了大量扩充和延伸，称之为ATP（高级威胁防御）。

Fortinet的ATP主要包括以下特性：恶意软件特征检测及过滤双重沙箱（本地及云端）检测0day威胁僵尸网络防御IPS（入侵防御）文件类型过滤三、如何进行APT攻击防御APT恶意代码分类APT攻击中的恶意代码有两大类第一类是已知的恶意代码，这些恶意代码是针对已知的系统漏洞。

虽然研华科技都知晓应该为系统漏洞按照最新的补丁，不过由于管理或者人力的问题，大多数的研华科技都很难随时更新到最新的修补程序。

另一大类的恶意代码是针对零日(0day)漏洞的恶意代码或者是未知的恶意代码，或者编写符合自己攻击目标，但能饶过现有防护者检测体系的特种木马，这些0day漏洞和特种木马，都是防护者或防护体系所未知的。

对于第一类已知恶意代码攻击目前很多安全设备已经可以做到防护如IPS等，但是对于第二类零日攻击（0Day）即未知威胁恶意代码的检测，主要依赖于各种沙箱技术。

包括手机沙箱、PE沙箱、web沙箱等，通过沙箱技术，构造一个虚拟化的环境，任何灰度的流量都可以装入一个隔离的沙箱中。

通过提取流量中的相关代码，然后将代码放到沙箱中执行，在隔离的虚拟化的沙箱环境中分析恶意软件或恶意内容，可让安全人员实际看到恶意软件的运作模式。

例如，如果怀疑电子邮件附件和URL藏有恶意软件，就可以将其放入沙箱，沙箱分析威胁相关信息，例如参与攻击的源头，被攻击的系统、域名、文件、URL及恶意软件等，借助这些信息，可以识别各种恶意代码，安全管理人员可以决定适当的防御措施，由于APT 攻击途径多种多样，可以是邮件，可以是web，可能来源于手机应用等等，因此沙箱技术是防范APT攻击的关键。

沙箱简介什么是沙箱沙箱是一种虚拟分析技术，通常指在沙箱中模拟用户环境（如复制标准的工作站）运行待检测的代码，通过分析输出结果来确认某种攻击行为。

恶意的特征通常表现为：下载已知病毒修改注册表访问外网的恶意IP地址感染进程为什么要使用沙箱高级威胁（APT/ATA）很难被检测到如：基于行为的检测 vs. 基于特征的检测基于特征的检测不能捕获所有威胁实时运行分析可以发现静态（特征）检测不能发现的问题检测是在运行代码后进行的，所以可以检查到各个方面还有更多…恶意软件通常还会去下载更多恶意软件沙盒会捕捉到这些动作，并跟踪整个过程沙箱挑战在当前的网络攻击技术中，攻击者为了绕过沙箱过滤识别技术，使用了大量的沙箱逃逸技术如：VM检测、时间炸弹、Debug循环、事件触发（鼠标点击、系统重启等）。

常见的沙箱存在以下问题：操作系统单一：适应范围较窄，速度慢单一软件版本：如只适用于java、Adobe reader等攻击需要在特定的版本软件中运行，例如：恶意软件不能在沙箱中运行，这样将绕过沙箱针对于这样一些特性，Fortinet公司研发了全新的多层次的安全威胁解决方案，该方案对沙盒本身的检测机制进行了更新，更结合了Fortinet公司多款明星产品，以及多年在安全领域的积累，为用户提供更全面有效的APT防御方案。

四、Fortinet针对研华APT解决方案部署方式研华科技承载着众多的内部业务，除了要对APT攻击进行精准防护之外，要求较低的延迟及较高保密性，而传统的云沙箱安全技术需要将可疑数据上传到各自厂商的云端沙箱进行隔离运行进而判断数据流量的安全性，很难满足研华科技对低延迟及高保密性的要求。

目前研华科技的网络架构大致如下，在Internet出口都已经部署过防火墙设备，图中User用户的上网都是通过深信服的行为管理设备接入Internet，而服务器都有自己独有的线路。

此外也有MPLS线路通到各分支机构。

用户主要关心的问题主要集中在以下几个方面：1、用户网络APT攻击的防御用户网络中，各种用户的访问习惯较为繁杂，一些用户没有养成良好的网络安全习惯，容易受到钓鱼邮件，网站的攻击，从而成为肉鸡，从而对内网的服务器可能会造成影响，如敏感信息外泄，服务器受到攻击等。

2、对MPLS网络的安全防御研华科技的公司总部和各分支机构使用MPLS打通了整个网络，但总部和分支机构之间并没有安全防护设备，只有一台riverbed广域网加速设备。

由于各分支机构的网络是相对独立管理的，使得总部和分支机构之间只要有一方受到APT攻击就可能影响到另一方。

3、对于server网络的安全防御目前对于Server端虽然和用户的网络是分开的，但对于Server的防御也仅限于防火墙，并没有网关IPS,网关防病毒等等类似的设备，总所周知传统的防火墙对于APT的防御是没有效果的。

因此Server的防御也需进一步提高。

为此Fortinet提供了本地沙箱技术-FortiSandbox硬件设备。

对于研华的此次网络安全沙箱项目，有几种配置和部署的方式，客户可根据自己的需求进行选择：部署方式一：部署一台FortiSandbox 1000D设备，但由于FortiSandbox是离线检测设备，需要有数据源，我们可以在核心交换机上做镜像端口，将需要进行检测的流量镜像出来，然后FortiSandbox进行检测即可。

此种解决方案部署方便，对现有网络架构无改动，只需在核心交换机上镜像流量即可，对用户和服务器都完全透明。

但是由于核心交换机上镜像过来的流量会较多，会造成Fortisandbox大量的扫描工作都浪费在一些无用的文件或流量上，从而造成扫描效率低下，整体检出率降低。

部署方式二：部署一台FortiGate 1200D设备，同时将一台FortiSandbox 1000D，放在网络中只要FortiGate1200D和FortiSandbox1000D能在内网互连即可。

FortiGate 1200D设备作为针对网络流量的探针设备，对网络中的流量进行打分评估，对于可疑的流量转发给直连的FortiSandbox 1000D设备。

由于FortiGate 1200D支持虚拟域功能，我们可以将一台FortiGate 1200D分成多个逻辑域，用于网络探测, 如下图所示一共划分了四个虚拟域，都进行透明模式的部署，在此种模式下所有的文件已经经过FortiGate1200D的第一层过滤，对于已知的威胁已经可以由FortiGate1200D过滤掉，而对于已知可信无威胁的文件，FortiGate1200D会将其放过，而不会发送到Fortisandbox进行没有必要的查杀。