思科高級安全顧問李嵩:攻擊來了怎么防?
原創(chuàng)在萬物互聯(lián)的時代,企業(yè)享受著“互聯(lián)”帶來的無盡的“商機”。與此同時,黑客也悄悄分享著“互聯(lián)”帶來的紅利。以各種形式的網(wǎng)絡為戰(zhàn)場,一場無形的戰(zhàn)爭正在打響。思科Talos安全情報及研究團隊分析評估黑客活動,入侵企圖,惡意軟件以及漏洞的最新趨勢。在這場戰(zhàn)爭中為用戶提供了強大的后盾支持。
嘉賓介紹
李嵩,現(xiàn)任思科企業(yè)及商業(yè)事業(yè)部安全顧問。在安全行業(yè)從業(yè)超過十年,主要致力于企業(yè)的網(wǎng)絡安全整體解決方案,在安全架構 安全運維 風險評估有著豐富的經(jīng)驗,曾經(jīng)作為安全顧問為北京奧運會、新華網(wǎng)、新加坡青年奧運會等重大活動提供安全咨詢。
以前的防御措施主要采用防火墻和IPS,一旦攻擊來了就可以快速攔截下來,進行最快的攻擊類型匹配和識別,這是早期的企業(yè)常規(guī)部署方式。并且互聯(lián)網(wǎng)出口往往被定義為安全威脅的邊界,但是隨著業(yè)務本身的擴展,逐漸意識到安全是內(nèi)外網(wǎng)都需要保護的。安全的結構隨著互聯(lián)網(wǎng)以及客戶業(yè)務而變化著,固守的方式已經(jīng)不能真正解決攻擊所帶來的威脅了。所以現(xiàn)在從被動防御改為主動防御,也就是說既要把控外網(wǎng)的威脅進行防御,也要分析內(nèi)網(wǎng)的行為,內(nèi)外網(wǎng)兼顧,從而做到快速實時的響應。內(nèi)網(wǎng)的交換機和路由器都可以幫助收集信息,當威脅分析被確認,便可采取聯(lián)動安全,內(nèi)網(wǎng)的網(wǎng)絡連接設備都可以作為安全的攔截點,把威脅的隔離信息快速推送到接入點上,將威脅化解為零,這樣就可以將防御性轉(zhuǎn)換成主動性,讓網(wǎng)絡的威脅防御更加適合客戶業(yè)務的發(fā)展。
而現(xiàn)在的攻擊方式越來越隱蔽,惡意軟件都有一個潛伏期,在潛伏期中并不會發(fā)作,當防御系統(tǒng)探測到這種惡意軟件的時候,就會進行長時間的監(jiān)控,同時獲取其哈希碼確定傳播的軌跡,監(jiān)測其是否進行了端口掃描和傳播。一旦在其他客戶網(wǎng)絡也發(fā)現(xiàn)同樣的惡意軟件爆發(fā),將可以快速同步和查殺。
另外一種方式,可以設置一個完全真空的空間,讓惡意軟件釋放,從而了解其危險性,一旦發(fā)現(xiàn)有危險操作便可直接查殺。這里思科Talos團隊也基于大數(shù)據(jù)平臺進行威脅情報分析,對來自廣域網(wǎng)上的掛馬URL、威脅網(wǎng)站、惡意的郵件服務器以及DNS都進行評級,不論點擊惡意網(wǎng)站或者接受威脅郵件,都可以直接匹配威脅情報進行快速除掉。
惡意軟件的越權訪問就像頑固污漬一樣令人頭痛。李嵩說,其實每個傳播流程中都可以設攔截點。惡意軟件在進行傳播的時候,很多是通過郵件或者URL使用戶感染。當郵件和Web網(wǎng)關防御感知到這是惡意行為,便會直接查殺。如果惡意軟件滲入到第二個環(huán)節(jié),進行內(nèi)網(wǎng)掃描和傳播時,防御系統(tǒng)會基于跟蹤內(nèi)網(wǎng)被感染的主機,這些主機是否進行越權訪問,安全與否感染了沒有。在惡意軟件進入第三個環(huán)節(jié),找到重要的宿主機后就會開始數(shù)據(jù)的盜取,或者進行一些惡意操作,這時防御系統(tǒng)可以直接對其遠程的CnC主機進行DNS攔截。最后惡意軟件在主機的爆發(fā)時,通過主機層面的查殺,可以直接從主機層面攔截。每個威脅過程都有相應的解決辦法,這便組成了完整的思科惡意軟件防護解決方案。
在此李嵩分享了一個很有意思的案例。
思科的有些客戶經(jīng)常在晚上遭受DDos的攻擊,廣域網(wǎng)上有超過60GB的DDoS流量席卷而來,使其業(yè)務無法正常運行。隨后思科與運營商共同建立DDos清洗中心,用來幫助用戶解決惡意流量的問題。流行的DDos流量分為兩種。像大規(guī)模的攻擊,必須通過建立“清洗中心”解決,因為洪水已經(jīng)堵到家門口,必須聯(lián)合運營商進行清洗;應用級別的DDos攻擊,流量較小,同樣威脅也很大,我們可以是直接進行業(yè)務線上清洗。
防御方多半會收集攻擊信息作為“攻擊取證和溯源”,其實攻擊方同樣會收集防御信息,這是一個交互博弈的過程。現(xiàn)在最流行高持續(xù)型威脅攻擊、惡意信用、長期攻擊等攻擊方式,不斷收取網(wǎng)絡防御信息,每個防御點的設備是什么,還有哪些漏洞;防御方也會不斷收取攻擊信息,分析、加固然后擊破攻擊方。所以在攻擊和防御這兩者間,誰能快速建立自己的攻防體系,誰能把重要的威脅信息快速共享才是最重要的。