APT防御-传统设备的短板 - APT防御产品

APT防御-传统设备的短板


事实证明,传统安全设备已经无法抵御复杂、隐蔽的APT攻击。
     针对伊朗和设施的“震网攻击”、针对跨过能源公司的“夜龙攻击”、针对Google邮件服务器的“极光攻击”、针对RSASecureID的攻击、针对美国政府和国际组织的“暗鼠行动”、美国国家航空航天局(NASA)喷气推动实验室核心资料被窃取、韩国金融和电视媒体网络被大面积入侵而瘫痪,几乎所有的被曝光的APT攻击无一例外都是以入侵者的全面成功而结束,在这些已公开的APT攻击中,依靠传统安全设备的防御体系均被轻易绕过而失去防御能力。在某些APT攻击的案例(如震网攻击、夜龙攻击)中,传统安全防御设备甚至在长达数年的持续攻击中毫无察觉。无需过多讨论,APT攻击在事关各国民生命脉的能源、电力、金融、政治、军事、核设施等关键领域造成的史无前例,难以评估的严重损失的事实已经清楚告诉我们:传统安全设备无法抵御网络攻击的核武器:APT


    传统安全防御体系的框架一般包括:接入控制、安全隔离、边界检测/防御、终端防御、网络审计、访问控制等,所涉及的安全产品包括:防火墙、IDS/IPS、杀毒软件、桌面管理软件、网络审计、双因素认证Token等。
    从传统安全防御体系的设备和产品可以看到,这些产品遍布网络2~ 7层的数据分析,其中,与APT攻击相关的7层设备主要是IDS、IPS、审计,而负责7层检测IDS、IPS采用经典的CIDF检测模型,该模型最核心的思想就是依靠攻击特征库的模式匹配完成对攻击行为的检测。反观APT攻击,其采用的攻击手法和技术都是未知漏洞(0day)、未知恶意代码等未知行为,在这种情况下,依靠已知特征、已知行为模式进行检测的IDS、IPS在无法预知攻击特征、攻击行为模式的情况下,理论上就已无法检测APT攻击。


转载请注明出处 APT防御产品 » APT防御-传统设备的短板

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址