《分享》APTs與ATP

APTs是Advanced Persistent Threats，ATP是Advanced Threat Protection；
雖然兩者看起來讓人混淆，但其實可視為同一件事。

在網路上各種威脅的存在是無可避免的一件事，
駭客藉由各種工具，入侵到使用者電腦後，連回Command and Control主機，成為受控端僵屍電腦。
這種潛在性的威脅並不見得會立即性發作，也許會潛伏一陣子，再伺機進行攻擊、進行散佈...
而這種行為就定義為Advanced Persistent Threats - 進階性持續威脅。



在未透過下載行為或未啟用病毒掃描的情況下，防火牆的防毒功能並不會攔到這類惡意軟體；
透過IPS來防禦，又需要在所有zone to zone的規則中啟用Command and Control signature來進行攔阻，設定上比較瑣碎...

為此，Sophos定義了一個全域性的防禦機制 - Advanced Threat Protection，用以防護這一類C&C的威脅。
簡單來說防火牆上面有不同的安全模組，例如IPS、AV、Web Filtering、Spam、WAF等等，以往這些安全事件都是在不同的模組呈現，
在導入ATP後，只要有IP往外有C&C連線時，Sophos ATP就會把被不同安全模組的事件標示出來。



這ATP原本是在UTM上出現，在併購Cyberoam，推出新的防火牆XG時，也將此技術移植到XG上。
接下來，我們來看看在XG上如何設定ATP。


剛才提到ATP是一全域性保護機制，不需要逐一在所有規則中進行套用，
所以我們只要在 System > System Services > Advanced Threat Protection 中啟用ATP即可。



預設防禦模式則有Log Only與Log and Drop兩種，還可以針對要放行的網段及特定威脅進行例外放行。
功能設定上就只有這些，真是意外的簡潔...


完成後，可以在Dashboard看到ATP的統計，點入後則可看到主機的觸發次數統計表。



在主機統計表中，按下ATP Report則可看到ATP的報表。



報表中，可以看到完整詳細記錄統計結果。



也可以透過Threat Destinations做為分類，來查詢有問題的外部站台。



有了內外雙向的異常記錄，建議封鎖可疑的外部站台，並對內部異常主機進行掃毒，
好好確認這異常事件是誤判還是真的有問題，以發揮ATP的效果。


參考資料
How do APTs work? The Lifecycle of Advan...sistent Threats
What’s new in Sophos UTM Accelerated (9...rotection (ATP)

♥順子老婆的網拍，請多關照∼

If you don't like something, change it.
If you can't change it, change your attitude.
Don't complain!