从城防到塔防，随着云计算、大数据的到来，这个世界的信息安全正在转变。今天，我们必须重视的是APT防御。

APT威胁三特性

APT（Advanced Persistent Threat）是指高级持续性威胁，包括以下三个层次：

1、高级性：是指威胁运用多种技术、非技术手段（包括钓鱼、木马、僵尸、注入、DDoS、渗透、0day、社会工程……），结合线上线下（O2O）各种手段，属于高级别的威胁。

2、持续性：是指威胁具有极强的隐蔽能力，发现漏洞时，并不急于求成，而是非常耐心地利用它来进一步渗透。攻击者经常会针对性地进行几个月甚至更长时间的潜心准备，收集精确信息，熟悉网络坏境，探测各种隐患，定位关键数据。

3、威胁性：窃取甚至破坏大量、核心数据，造成严重破坏。

Target百货数据泄漏事件回顾

Target百货，很多人并不陌生，也称为塔吉特百货， 这是美国仅次于沃尔玛的第二大零售百货集团，全球财富500强企业排名33，并且是标准普尔500指数成份股。这样一家显赫的百货企业，曾因APT攻击而几乎一蹶不振。

黑客首先攻击了Target百货的一个做空调、暖气的传统供应商，这个供应商中了木马后，黑客通过供应商的电脑登入到了Target百货供应商Web门户系统，通过漏洞上传恶意的文件，于是Target百货门户系统就被攻破了。同时，黑客又利用了缓存窃取技术，直接获得了管理员权限，从而可以在网络里随意的扫描和窃取更重要的数据。黑客不仅在POS系统上装了恶意软件，窃取了大约4000万的信用卡信息。

虽然Target百货严格遵循了TCI规范，将信用卡信息和用户信息分离，但因为黑客具有管理员权限，可直接把用户信息窃取了出来，然后通过打包的方式放到了外网的服务器上面。最终造成Target百货7000万条客户个人信息、4000万条信用卡数据被盗。 初期损失1.48亿美元，最终损失达到10亿美元。 CIO Beth Jacob引咎辞职。

Target百货数据泄漏示意图如上

正确认识APT  预防两个误区

Fortinet中国区技术总监谭杰总结，在信息安全策略上，必须纠正两个误区：

第一个是边界安全。过去人们把资源、注意力过多的集中在了边界安全上，认为安全首先是在内外网之间做防火墙，防火墙不行就上下一代防火墙，甚至于加WAF等，但实际上效果并不明显，因为APT攻击的过程中，真正穿越防火墙到达内网的那一个区间、那一个时间段是比较短暂的，可能就是一瞬间的时间，通过一次木马或者是钓鱼就进来了，剩下的大量的持续的渗透、攻击、提升权限都是在内网当中进行的，而且最后将偷得的数据发到外部服务器是一个由内到外的东西，而通常防火墙从内到外却是放松的，不会做过多的限制。各种统计表明，80%以上的安全问题发生在内部。因此，将80%以上的投资都放在了边界安全的效果并不会太好。

另一方面，网络边界也越来越模糊，主要表现在BYOD的使用上，BYOD决定了在智能手机、平板电脑用于办公时，一边接3G、4G网络，另外一边能接无线网。但手机、平板电脑非常容易中木马，回到单位连上无线网，病毒自然也进入到无线网里。因此，安全网络建设已不能再单纯区分外网和内网了，因为无线虽然是内网，但是它也很容易跟外网打通通道。

第二个误区表现在将APT等同于Oday，等同于沙盒。但实际上只能说明沙盒在APT防御当中的重要性，但并非绝对。因此，整个安全防护应该是这样一个体系。

APT综合防御体系的五大层次

谭杰认为，APT综合防御体系分为以下五个层次：

一是严密的访问控制，将网络不断的做隔离、安全域和权限的划分。

二是多层次的威胁防御，因为高级持续性威胁中，高级黑客用的攻击手段有很多，有病毒、木马等，相应的安全防御技术也必须跟上。

三是Oday的检测，也就是沙盒非常有必要的，要有防御的手段。

四是安全智能，即可视化、大数据及各种安全设备之间的应集成和联动，使得真正形成一个有机的整体。

五是管理，因为黑客有非技术手段，所以用户需要知道如何防止这种非技术的社交手段进行安全管理。

谭杰总结出APT防御三措施：严密、细致和敏锐。谭杰认为：APT的本质需要不断提升安全权限，首先黑客获得了一个外围的权限，比如供应商、合作伙伴、家人、朋友等，其次通过一些手段获得普通员工的权限，攻击不断的扩散，接着获得管理层权限，最后获得超级管理员（Root）的权限。因此，企业网络安全不仅仅存在于边界，而需要无处不在的防火墙或者是下一代防火墙，让任何两台服务器甚至两台虚拟机之间的访问都应该经过严格的检查和过滤。无论你是有线的交换环境还是无线的数据介入，都需要做安全检查。另一方面，需要严格的身份认证，以确保只有拥有权限的访问者才可以获取到这些数据。

APT综合防御体系如何进行部署？

谭杰阐述了Fortinet在APT的防御体系：

一是边界防火墙，即无论是企业园区网、企业总部的边界还是中小企业、数据中心，都需要做边界防火墙建设。

二是内网防火墙，进入到内网之后，也需要划分不同的区域，比如办公网不同部门的区域划分；数据中心不同内容的区域划分或者云平台对不同租户的区分等等。

内网防火墙和边界防火墙虽然统称为防火墙，其却有本质区别，首先内网防火墙性能更高。因为边界相对来说网速比较慢的，可能几百M或者是1G就已经很高，但是内网的数据由于非常庞大，几十G甚至上百G都有可能。因此要求内网防火墙性能更高。此外，内网防火墙对断口高度的密度要求也比较高。边界非常简单，一进一出就适用了，而内网可能50个、100个都不够，可能需要用到很多的接口来做划分。

Fortinet为了解决性能问题，研发了新一代ASIC芯片。一个芯片可达到40G的防火墙吞吐能力，而一个盒子里如果放8个芯片，便可以达到320G的性能；此外， Fortinet防火墙可以放在数据中心，如FortiGate-3000D系列，多达40*10GE接口，防火墙吞吐量高达320Gbps为，支持100GE、40GE接口。同时，Fortinet虚拟化防火墙软件，可以运行在虚拟化的平台上。

三是接入级安全，FortiGate可向下延伸到接入层，无论是有线接入还是无线接入，把FortiAp这样的无线AP，跟FortiGate做一个互联。然后便可以把2-7层的安全策略全部都下发到交换机和无线AP上去，这也就意味着在企业网里，只要把无线一连或者是你一接入无线网络，便可以享受到全方位的保护，包括了防火墙过滤、入级防御、病毒过滤、内容过滤、应用控制、流控等一系列的安全功能。如果有一个手机在4G网上中了毒，即使在企业内部无线上网连接时， Fortinet解决方案中的无线AP就会拦截并隔离。

四是身份认证体系，这是一个认证服务器，可支持各种各样的接口，而且可以给Windows域加上双因子认证。

Fortinet 打造全局、快速、安全的APT综合防御体系

据谭杰介绍，Fortinet  APT综合防御体系具有以下三大特点：

一是具有全局性，可多角度来防御APT的攻击，包括边界安全以及内网安全，有内网防火墙、虚拟化防火墙，安全交换的解决方案，安全无线的解决方案，甚至针对特殊应用，提供WAF应用保护。Fortinet是一个整体安全解决方案的供应商，可以提供一站式的安全服务体验。

其次是快速性，安全问题是紧急而迫切的问题，Fortinet解决方案可快速解决问题。

第三是安全，FortiGuard Labs统计，每分钟都会帮助全球客户捕获几万封的垃圾邮件，二十多万的网络入侵尝试，每周更新的垃圾是五千万，每天会帮助用户防御一百个新的攻击行为、九十多万个新的病毒、一百多万个新的URL，全球研发团队每周的研发时间超过八千个小时。Fortinet已经积累了超过150TB的安全威胁样本，整个的入侵防御规则超过了1.7万个，认识全球超过5800个应用，有2亿多的网页收录在Web URL库。