下一代防火墙：“APT”防护的中坚力量

当前，随着一种有组织、针对特定目标、破坏力大、持续时间长的新型威胁出现，使企业网络安全面临前所未有的挑战。这种攻击也被称为APT(Advanced Persistent Threat，高级可持续型攻击)。APT攻击通常通过合法通道、利用零日漏洞、采用社会工程学的方式。因此隐蔽性更强，令人防不胜防。APT攻击通常分为6个阶段：

（1）信息收集：攻击者确定攻击目标并进行信息收集，例如与目标企业的邮件列表信息或目标企业员工的个人习惯。信息收集通常采用社会工程学的方法，难以防范。

（2）水坑攻击：利用零日漏洞或开发定制化的攻击工具，通过钓鱼邮件或钓鱼网站感染目标企业的员工，获得进入企业网络的跳板。攻击者常常利用钓鱼链接或附件引诱企业员工点击。例如，知道某个员工有离职的意愿，就给他发一个猎头或工作机会相关的邮件，邮件中含有钓鱼网站链接。一旦员工访问钓鱼网站或附件，恶意文件就会自动下载到员工的机器上，从而进入企业网络。

（3）命令&控制： 一旦进入企业网络，恶意程序将通过后门与C&C服务器进行通信，接收攻击者的指令。为后续的扩散和资产挖掘做好准备。

（4）内部扩散：利用企业正常的工作联系，恶意程序在企业内部潜伏并扩散，逐渐获得核心服务器的更高权限。扩散是隐蔽的，难以发现的。

（5）资产挖掘：恶意程序继续在企业网络中潜伏，时间达到几个月甚至几年，获取足够的信息和资源；

（6）机密窃取：在合适的时机，攻击者操作后门将获取的机密信息压缩加密，传出企业网络。

APT的主要目标通常是企业/机构的关键信息资产，需要采取综合手段进行防护。华为USG6000下一代防火墙，具有完备的防护功能和出色的性能，在APT防护的各个阶段均起到了重要作用。

在APT的“水坑攻击”阶段，针对钓鱼链接，USG6000能够实时识别恶意网站，当员工点击钓鱼网站的链接时直接阻断访问，避免恶意文件进入网络。针对攻击者定制开发的攻击工具，USG6000能够与沙箱进行联动，快速准确地检测出未知特征的恶意文件并阻断。利用下一代防火墙的业务感知能力，仅需将少量可能承载威胁的可疑流量送往沙箱处理，提升了整体方案的防护性能。

在APT攻击的“命令&控制”阶段，USG6000利用信誉体系识别出C&C服务器和恶意IP，斩断攻击者远程控制的黑手。

在APT攻击的“内部扩散”和“资产挖掘”阶段，USG6000利用丰富的报表提供充分的可视化能力，提前发现异常现象。同时，还会向敏捷园区中的Agile Controller发送日志，通过大数据分析进行全网安全协防。

在APT的“机密窃取”阶段，USG6000能识别出外传文件的真实类型，并对内容进行检查和审计，严格控制信息外传。例如：如果攻击者将包含敏感信息的word文档修改为其他扩展名，压缩后外传。这一异常行为将被检测出并阻断。

综上，APT攻击的特点促使现有的信息安全防护体系做出重大改变。华为以USG6000下一代防火墙为主体，针对APT攻击的特点构建防御，保护企业核心信息资产不被窃取。USG6000以全面的防护在APT时代为企业保驾护航。