沙箱安全解决方案-研华

研华科技安全沙箱项目Fortinet APT解决方案

2015年11月

目录

一、APT高级持续性威胁介绍 (3)

二、Fortinet ATP防御 (4)

三、如何进行APT攻击防御 (6)

3.1 APT恶意代码分类 (6)

3.2 沙箱简介 (7)

3.3 沙箱挑战 (8)

四、Fortinet针对研华APT解决方案 (9)

4.1部署方式 (9)

4.2 FortiSandbox简介 (15)

4.3 FortiSandbox解决常见沙箱的技术难题 (16)

4.4 FortiGuard学习 (18)

五、Fortinet优势 (20)

5.1安全与性能 (20)

5.2灵活的部署 (21)

5.3投资回报率高 (22)

一、APT高级持续性威胁介绍

随着更全面的安全应用程序和数据库技术的迅猛发展，研华科技现在有了更多的方法来进行实时的身份监控、权限和证书检查。然而，日渐复杂的安全问题依然有增无减，使得其带来的威胁仍然不容忽视。云计算的产生将给互联网带来天翻地覆的变化，研华科技坚定不移的走上了云计算道路的大趋势将不会受到任何挑战，但数据保护和虚拟环境中的风险管理却让人望而却步，毋庸置疑在云计算的发展道路上，安全问题已经成为了它最大的“绊脚石”。

高级持续性威胁(Advanced Persistent Threat，APT)，威胁着研华科技的数据安全。APT是黑客以窃取核心资料为目的，针对客户所发动的网络攻击和侵袭行为，是一种蓄谋已久的“恶意商业间谍威胁”。这种行为往往经过长期的经营与策划，并具备高度的隐蔽性。APT的攻击手法，在于隐匿自己，针对特定对象，长期、有计划性和组织性地窃取数据，这种发生在数字空间的偷窃资料、搜集情报的行为，就是一种“网络间谍”的行为。这种攻击行为首先具有极强的隐蔽能力，通常是利用研华科技或机构网络中受信的应用程序漏洞来形成攻击者所需C&C网络;其次APT攻击具有很强的针对性，攻击触发之前通常需要收集大量关于用户业务流程和目标系统使用情况的精确信息，情报收集的过程更是社工艺术的完美展现;当然针对被攻击环境的各类0day收集更是必不可少的环节。

在已经发生的典型的APT 攻击中，攻击者经常会针对性的进行为期几个月甚至更长时间的潜心准备，熟悉用户网络坏境，搜集应用程序与业务流程中的安全隐患，定位关键信息的存储位置与通信方式，整个惊心动魄的过程绝不逊于好莱坞巨制《偷天换日》。当一切的准备就绪，攻击者所锁定的重要信息便会从这条秘密通道悄无声息的转移。例如，在某台服务器端成功部署Rootkit 后，攻击者便会通过精心构造的C&C 网络定期回送目标文件进行审查。

二、Fortinet ATP 防御

为了防御新型恶意软件和APT 攻击，仅仅依赖传统的防病毒软件是远远不够的，必须结合多种安全技术，建立覆盖网络和终端的立体防御体系，从各个可能的入口进行封堵。

Fortinet 针对APT 攻击的安全解决方案在防病毒技术的技术上进行了大量扩充和延伸，称之为ATP （高级威胁防御）。Fortinet 的ATP 主要包括以下特性：

➢ 恶意软件特征检测及过滤 ➢

双重沙箱（本地及云端）检测0day 威胁

➢

僵尸网络防御

➢IPS（入侵防御）➢文件类型过滤

三、如何进行APT攻击防御

3.1 APT恶意代码分类

APT攻击中的恶意代码有两大类

第一类是已知的恶意代码，这些恶意代码是针对已知的系统漏洞。虽然研华科技都知晓应该为系统漏洞按照最新的补丁，不过由于管理或者人力的问题，大多数的研华科技都很难随时更新到最新的修补程序。

另一大类的恶意代码是针对零日(0day)漏洞的恶意代码或者是未知的恶意代码，或者编写符合自己攻击目标，但能饶过现有防护者检测体系的特种木马，这些0day漏洞和特种木马，都是防护者或防护体系所未知的。

对于第一类已知恶意代码攻击目前很多安全设备已经可以做到防护如IPS等，但是对于第二类零日攻击（0Day）即未知威胁恶意代码的检测，主要依赖于各种沙箱技术。包括手机沙箱、PE沙箱、web沙箱等，通过沙箱技术，构造一个虚拟化的环境，任何灰度的流量都可以装入一个隔离的沙箱中。通过提取流量中的相关代码，然后将代码放到沙箱中执行，在隔离的虚拟化的沙箱环境中分析恶意软件或恶意内容，可让安全人员实际看到恶意软件的运作模式。例如，如果怀疑电子邮件附件和URL藏有恶意软件，就可以将其放入沙箱，沙箱分析威胁相关信息，例如参与攻击的源头，被攻击的系统、域名、文件、URL及恶意软件等，借助这些信息，可以识别各种恶意代码，安全管理人员可以决定适当的防御措施，由于APT攻击途径多种多样，可以是邮件，可以是web，可能来源于手机应用等等，因此沙箱技术是防范APT攻击的关键。

3.2 沙箱简介

什么是沙箱？

沙箱是一种虚拟分析技术，通常指在沙箱中模拟用户环境（如复制标准的工作站）运行待检测的代码，通过分析输出结果来确认某种攻击行为。

恶意的特征通常表现为：

⏹下载已知病毒

⏹修改注册表

⏹访问外网的恶意IP地址

⏹感染进程

为什么要使用沙箱？

高级威胁（APT/ATA）很难被检测到如：

基于行为的检测vs. 基于特征的检测

⏹基于特征的检测不能捕获所有威胁

⏹实时运行分析可以发现静态（特征）检测不能发现的问题

⏹检测是在运行代码后进行的，所以可以检查到各个方面

还有更多…

⏹恶意软件通常还会去下载更多恶意软件

⏹沙盒会捕捉到这些动作，并跟踪整个过程

3.3 沙箱挑战

在当前的网络攻击技术中，攻击者为了绕过沙箱过滤识别技术，使用了大量的沙箱逃逸技术如：VM检测、时间炸弹、Debug循环、事件触发（鼠标点击、系统重启等）。

常见的沙箱存在以下问题：

⏹操作系统单一：适应范围较窄，速度慢

⏹单一软件版本：如只适用于java、Adobe reader等

⏹攻击需要在特定的版本软件中运行，例如：恶意软件不能在沙箱中运行，这样

将绕过沙箱

针对于这样一些特性，Fortinet公司研发了全新的多层次的安全威胁解决方案，该方案对沙盒本身的检测机制进行了更新，更结合了Fortinet公司多款明星产品，以及多年在安全领域的积累，为用户提供更全面有效的APT防御方案。