Shunze 學園 >資訊設備專區 >Sophos XG > 《分享》APTs與ATP 哈囉,還沒有註冊或者登入。請你[註冊|登入]
« 上一篇主題 下一篇主題 » 顯示成列印模式 | 增加到我的最愛
發表新主題 發表回覆
作者
主題
shunze
工友伯伯


註冊日期: 2002 04
來自: 潮汐終止之地
文章: 2380

shunze 離線
《分享》APTs與ATP引用回覆 編輯/刪除文章 搜尋由  發表的其他文章 回報給版主 IP 位置 回此頁最上方

APTs是Advanced Persistent Threats,ATP是Advanced Threat Protection;
雖然兩者看起來讓人混淆,但其實可視為同一件事。

在網路上各種威脅的存在是無可避免的一件事,
駭客藉由各種工具,入侵到使用者電腦後,連回Command and Control主機,成為受控端僵屍電腦。
這種潛在性的威脅並不見得會立即性發作,也許會潛伏一陣子,再伺機進行攻擊、進行散佈...
而這種行為就定義為Advanced Persistent Threats - 進階性持續威脅。



在未透過下載行為或未啟用病毒掃描的情況下,防火牆的防毒功能並不會攔到這類惡意軟體;
透過IPS來防禦,又需要在所有zone to zone的規則中啟用Command and Control signature來進行攔阻,設定上比較瑣碎...

為此,Sophos定義了一個全域性的防禦機制 - Advanced Threat Protection,用以防護這一類C&C的威脅。
簡單來說防火牆上面有不同的安全模組,例如IPS、AV、Web Filtering、Spam、WAF等等,以往這些安全事件都是在不同的模組呈現,
在導入ATP後,只要有IP往外有C&C連線時,Sophos ATP就會把被不同安全模組的事件標示出來。



這ATP原本是在UTM上出現,在併購Cyberoam,推出新的防火牆XG時,也將此技術移植到XG上。
接下來,我們來看看在XG上如何設定ATP。


剛才提到ATP是一全域性保護機制,不需要逐一在所有規則中進行套用,
所以我們只要在 System > System Services > Advanced Threat Protection 中啟用ATP即可。



預設防禦模式則有Log Only與Log and Drop兩種,還可以針對要放行的網段及特定威脅進行例外放行。
功能設定上就只有這些,真是意外的簡潔...


完成後,可以在Dashboard看到ATP的統計,點入後則可看到主機的觸發次數統計表。



在主機統計表中,按下ATP Report則可看到ATP的報表。



報表中,可以看到完整詳細記錄統計結果。



也可以透過Threat Destinations做為分類,來查詢有問題的外部站台。



有了內外雙向的異常記錄,建議封鎖可疑的外部站台,並對內部異常主機進行掃毒,
好好確認這異常事件是誤判還是真的有問題,以發揮ATP的效果。


參考資料
How do APTs work? The Lifecycle of Advan...sistent Threats
What’s new in Sophos UTM Accelerated (9...rotection (ATP)



♥順子老婆的網拍,請多關照∼

If you don't like something, change it.
If you can't change it, change your attitude.
Don't complain!




2016-10-17, 13:47 shunze 的個人資料 把 shunze 加入好友列表 發送Email給 shunze 瀏覽 shunze 的網站 MSN : shunze@gmail.com
  « 上一篇主題 下一篇主題 »
發表新主題 發表回覆
跳到:

Powered by: Burning Board 1.1.1 2001 WoltLab GbR