Firehunter APT沙箱安全技术方案

研华科技安全沙箱项目Fortinet APT解决方案2015 年 11 月目录一、 APT高级连续性威迫介绍 .....................................错误 ! 不决义书签。

二、 Fortinet ATP 防守 ..........................................错误 ! 不决义书签。

三、怎样进行APT攻击防守 ......................................错误 ! 不决义书签。

APT 歹意代码分类 ..............................................错误 ! 不决义书签。

沙箱简介 .....................................................错误 ! 不决义书签。

沙箱挑战 .....................................................错误 ! 不决义书签。

四、 Fortinet针对研华 APT解决方案 ..............................错误 ! 不决义书签。

部署方式 ......................................................错误 ! 不决义书签。

FortiSandbox简介 .............................................错误 ! 不决义书签。

FortiSandbox解决常有沙箱的技术难题...........................错误 ! 不决义书签。

FortiGuard学习 . ..............................................错误 ! 不决义书签。

五、 Fortinet优势 ..............................................错误 ! 不决义书签。

华为FireHunter6000系列沙箱产品产品概述高级持续性威胁（APT）常常以钓鱼邮件方式入侵低防御意识人群，以物联设备漏洞为切入点，潜伏到企业高价值数据资产区域，在传统防御手段未检测感知以前，窃取或破坏目标。

APT攻击通常主要攻击涉及国计民生的基础设施，例如金融、能源、政府等，攻击的实施者会经过大量精心的准备和等待，利用0-Day漏洞、高级逃逸技术等多种技术组合成未知威胁恶意软件，它们可以绕过现有的基于特征检测的安全设备，非常难以防御。

华为FireHunter6000系列沙箱产品是华为公司推出的新一代高性能APT威胁检测系统，可以精确识别未知恶意文件渗透和C&C（命令与控制，Command & Control，简称C&C）恶意外联。

通过直接还原网络流量并提取文件或依靠下一代防火墙提取的文件，在虚拟的环境内进行分析，实现对未知恶意文件的检测。

凭借华为独有的ADE高级威胁检测引擎，华为FireHunter6000系列沙箱产品与下一代防火墙配合，对“灰度”流量实时检测、阻断和报告呈现，有效避免未知威胁攻击的迅速扩散和企业核心信息资产损失，特别适用于金融、政府机要部门、能源、高科技等关键用户。

产品特点50+文件类型检测，全面识别未知恶意软件●全面的流量还原检测：具备业内领先的流量还原能力，可以识别主流的文件传输协议如HTTP、SMTP、POP3、IMAP、FTP、SMB等，从而确保识别通过这些协议传输的恶意文件●支持主流文件类型检测：支持对主流的应用软件及文档进行恶意代码检测，包括支持PE、PDF、Web、Office、图像、脚本、SWF、COM等50+类型文件的检测4重纵深检测，准确性达99.5%以上●模拟多种软件运行环境和操作系统：模拟操作系统和多种软件运行环境：提供PE、PDF、Web启发式沙箱和虚拟执行环境沙箱。

虚拟执行环境支持多种Windows操作系统、浏览器及办公软件●动静结合检测：通过静态分析，包括代码片段分析、文件格式异常、脚本恶意行为分析等，来缩小可疑流量范围；通过指令流监控，识别文件、服务操作，来进行动态分析，最后通过行为关联分析，判断定性●高级抗逃逸：多种抗逃逸技术，防止恶意软件潜伏、躲避虚拟机检测秒级联动响应，快速拦截未知恶意软件●业内一流的性能：提供业内一流的沙箱分析能力，同时支持通过横向扩容方式组成沙箱分析集群。

APT攻击防护方案：构建堡垒网络升级安全防护随着信息技术的高速发展，人类的生活跟网络紧密地联系在了一块儿。

在电子商务，网络支付极其发展的今天，各种安全问题也随之而来。

网络安全，已成为当今世界越来越关心的话题之一。

近年来，APT 高级持续性威胁便成为信息安全圈子人人皆知的"时髦名词".对于像Google、Facebook、Twitter、Comodo 等深受其害的公司而言，APT无疑是一场噩梦。

于是，引发了行业以及安全从业者对现有安全防御体系的深入思考。

在APT攻击中，攻击者会花几个月甚至更长的时间对"目标"网络进行踩点，针对性地进行信息收集，目标网络环境探测，线上服务器分布情况，应用程序的弱点分析，了解业务状况，员工信息等等。

当攻击者收集到足够的信息时，就会对目标网络发起攻击，我们需要了解的是，这种攻击具有明确的目的性与针对性。

发起攻击前，攻击者通常会精心设计攻击计划，与此同时，攻击者会根据收集到的信息对目标网络进行深入的分析与研究，所以，这种攻击的成功率很高。

当然，它的危害也不言而喻。

要预防这种新型的，攻击手法极其灵活的网络攻击，首先，应该对这种攻击进行深入的探讨、研究，分析APT攻击可能会发生的网络环节或者业务环节等；其次要对我们自己的网络进行深入的分析，了解网络环境中存在的安全隐患，从而具有针对性地进行防护。

下图是个比较典型的网络拓扑简图：（图一）参照这个网络拓扑，结合近几年发生的APT攻击，我们来分析下APT攻击。

1）2010年，Google被攻击事件：攻击者收集了Google员工的信息，伪造了一封带有恶意链接的邮件，以信任人的身份发给了Google 员工，致使该员工的浏览器被溢出，接着，攻击者获取了该员工主机的权限，并持续监听该员工与Google 服务器建立的连接，最终导致服务器沦陷。

前不久发生的Facebook被攻击事件，与这个极为相似。

2）2011年美国《华尔街日报》报道的一个安全事件：攻击者通过SQL注入漏洞，入侵了外网边缘的WEB服务器，然后以WEB服务器为跳板，对内外进行嗅探、扫描，进而入侵了内外AD服务器。

应对APT攻击的最新技术2013-11-08网络安全，尤其是Internet互联网安全正在面临前所未有的挑战，这主要就是来自于有组织、有特定目标、持续时间极长的新型攻击和威胁，国际上有的称之为APT(Advanced Persistent Threat，高级持续性威胁)攻击，或者称之为“针对特定目标的攻击”。

这些攻击统称为新型威胁。

一般认为，APT攻击就是一类特定的攻击，为了获取某个组织甚至是国家的重要信息，有针对性地进行的一系列攻击行为的整个过程。

APT攻击利用了多种攻击手段，包括各种最先进的手段和社会工程学方法，一步一步的获取进入组织内部的权限。

APT往往利用组织内部的人员作为攻击跳板。

有时候，攻击者会针对被攻击对象编写专门的攻击程序，而非使用一些通用的攻击代码。

此外，APT 攻击具有持续性，甚至长达数年。

这种持续体现在攻击者不断尝试各种攻击手段，以及在渗透到网络内部后长期蛰伏，不断收集各种信息，直到收集到重要情报。

对于这些单位而言，尽管已经部署了相对完备的纵深安全防御体系，可能既包括针对某个安全威胁的安全设备，也包括了将各种单一安全设备整合起来的管理平台，而防御体系也可能已经涵盖了事前、事中和事后等各个阶段。

但是，这样的防御体系仍然难以有效防止来自互联网的入侵和攻击，以及信息窃取等新型威胁。

一．新型威胁的综合分析APT攻击主要呈现以下技术特点：1、攻击者的诱骗手段往往采用恶意网站，用钓鱼的方式诱使目标上钩。

而企业和组织目前的安全防御体系中对于恶意网站的识别能力还不够，缺乏权威、全面的恶意网址库，对于内部员工访问恶意网站的行为无法及时发现;2、攻击者也经常采用恶意邮件的方式攻击受害者，并且这些邮件都被包装成合法的发件人。

而企业和组织现有的邮件过滤系统大部分就是基于垃圾邮件地址库的，显然，这些合法邮件不在其列。

再者，邮件附件中隐含的恶意代码往往都是0day漏洞，传统的邮件内容分析也难以奏效;3、还有一些攻击是直接通过对目标公网网站的SQL注入方式实现的。

安全沙箱技术在隔离环境中运行可疑程序，分析其行为和威胁安全沙箱技术是一种用于隔离环境中运行可疑程序的安全措施。

它能够提供一种虚拟环境，以便分析可疑程序的行为，并在不影响主系统的情况下识别和应对潜在的威胁。

使用安全沙箱技术可以将可疑程序隔离在一个受控的环境中，该环境与主系统完全隔离，通过限制其对真实资源的访问权限，以确保主系统不受到任何潜在安全风险的威胁。

在沙箱环境中，可疑程序被限制在一个受控的虚拟环境中运行，从而保护主系统的完整性和稳定性。

安全沙箱技术能够分析可疑程序的行为，以便及时识别和应对潜在的威胁。

它可以监视程序的系统调用、文件操作、网络通信和注册表访问等行为。

通过对这些行为的分析，安全沙箱可以识别出任何可疑或恶意行为，并及时采取相应的措施。

安全沙箱技术不仅可以用于分析病毒和恶意软件，还可以用于测试软件的兼容性和安全性。

在软件开发过程中，可以使用安全沙箱技术来模拟不同的操作系统环境，以确保软件在多个平台上都能正常运行，并且不会对系统的安全性产生任何威胁。

此外，通过使用安全沙箱技术，开发人员还可以识别和修复软件中的潜在漏洞，以提高软件的安全性。

尽管安全沙箱技术可以在很大程度上减少可疑程序对主系统的影响，但它也存在一些局限性和风险。

首先，完全隔离可疑程序和主系统并不总是可能的，因为一些高级恶意软件可能会尝试逃离沙箱环境并直接影响主系统。

其次，沙箱技术的分析和防御能力可能会受到恶意软件的进一步演变和改进的限制。

因此，及时更新和维护安全沙箱技术是非常重要的。

安全沙箱技术是一种非常有用的工具，可以帮助我们隔离和分析可疑程序的行为，并及时识别和应对潜在的威胁。

它能够保护主系统的安全性和稳定性，同时也可以用于软件测试和漏洞修复，在提高软件安全性方面发挥积极作用。

然而，我们也需要意识到沙箱技术的局限性和风险，不断进行更新和维护，以确保其有效性和可靠性。

安全沙箱技术是一种有效的方法，可以将可疑程序隔离在一个虚拟环境中进行分析，以识别和应对潜在的威胁。

华为沙箱解决方案产品形态介绍1客户应用场景2产品主要特性3产品优势4FireHunter6000系列：适用于数据中心恶意文件检测场景型号FireHunter6200FireHunter6300尺寸(W ×D ×H) 447mm ×748mm ×86.1mm （2U ）447mm ×748mm ×86.1mm （2U ）447mm ×748mm ×86.1mm （2U ）流量处理性能500Mpps1Gbps2Gbps文件检测能力1万/天5万/天10万/天集群能力（单集群支持的检测节点台数）NA1616部署模式旁路部署FireHunter6100客户应用场景2产品形态介绍1产品主要特性3产品优势4FireHunter6000标准型方案——与防火墙联动文件还原 FireHunter6000与防火墙联动，使网络具备防御恶意文件和网站等未知威胁的能力，从而提升整个网络的安全性。

部署说明方案优劣说明 优势1）防火墙与沙箱联动，实现未知威胁在线阻断2）防火墙可对加密流量进行检测 劣势FireHunter6000当前仅支持华为防火墙联动，第三方防火墙如需联动需要根据华为提供的接口定制开发检测结果SwitchFireHunter6000经济型方案——独立旁路部署流量镜像FireHunter6000旁路部署在企业网络出口的交换机上，独立接收核心交换机镜像的网络流量进行还原，提取其中的文件进行未知威胁检测。

网络管理员通过查看FireHunter 提供的威胁分析报告，制定相应的安全策略，从而进一步提升整个网络的安全性。

部署说明方案优劣说明优势：防火墙非华为品牌时，实现未知威胁检测劣势：无法与防火墙联动，实现威胁在线阻断多防火墙恶意文件检测结果共享FireHunter6000与多台防火墙互联，并使能联动一台沙箱发现威胁，多台防火墙同时进行威胁阻断，从而提升整个网络的安全性。