防范混合攻擊 網絡安全是第一防線
此文章主要向大家講述的是正確防范混合攻擊,網絡作為安全第一防線,隨著各種類型的網絡攻擊變得不斷的復雜話,全球企業網絡面臨的威脅也隨之攀升,對任何用戶來說,其所需要的應用安全解決方案必須能夠精確解除潛在的網絡宕機以及應用濫用等威脅。
日前筆者就相關問題采訪了Radware DefensePro產品經理Ziv Ichilov先生。
專訪嘉賓介紹
Ziv Ichilov先生現為Radware安全部門產品經理,負責Radware安全解決方案的未來規劃與設計,利用他在不同領域的知識,不斷改善Radware DefensePro產品。加入Radware之前,Ziv曾在數據技術公司從事支持與售前工作,從數據安全,到存儲,到移動多媒體,再到智能解決方案均有所涉及。從他不同的工作中,Ziv獲得了智能安全解決方案產品管理與市場及不同地區的銷售生命周期的豐富經驗。另外,Ziv擁有特拉維夫大學哲學文學學士與教育學碩士學位。
2009年7月,一起大規模、有針對性的DDoS攻擊浪潮將矛頭對準美、韓兩國的商務網站和軍事網站,網絡層和應用層遭遇混合的、高密度、高量攻擊。將近5萬-6.5萬臺計算機成為僵尸網絡的傀儡機,這些傀儡機又進一步造成了更大范圍的擴散,對美國聯邦貿易委員會、紐約證券交易所、Yahoo!網站、美國財政部以及韓國的新韓銀行、Naver.com網站、韓國國防部等網站的大量訪問造成了網站系統的延遲甚至崩潰。
DDoS攻擊也在國內不斷興風作浪,2009年5月18、19日,我國多個省市網絡出現癱瘓、堵塞的現象。事故的起因就是大量“肉雞”組成的“僵尸網絡”對國內最大的免費域名服務提供商 DNSPod進行DDoS(分布式拒絕服務)攻擊,攻擊集中在6臺服務器。導致包括國內諸多知名網站在內的大量網站開始間歇性無法訪問,最終引發暴風影音域名解析請求超出正常水平,導致網絡服務大面積中斷。
為什么安全設備會失效?這里需要看下這些攻擊的特點:(1)來源多,超過5萬個肉雞發送正常的請求和DoS請求,而且二者混合在了一起;(2)高量,每秒200萬個請求,造成IPS和抗DoS設備承受不了,最終崩潰而無法繼續提高安全防護。從這些事件中可以發現,沒有任何一個單一的防護手法可以防范上述安全威脅,只有涵蓋了IPS、網絡行為分析、DoS防護,才能對系統進行完整的防護。 當前許多組織機構都僅僅部署了單一的保護方案,如入侵防御系統(IPS)、網絡行為分析(NBA)和拒絕服務攻擊(DoS)保護等。然而,新興的網絡防范混合攻擊將目標對準了數據中心,這表明沒有任何一款單一的工具能夠解決當前的網絡威脅。然而多個單一安全工具的部署不僅增加了成本和復雜性,而且使網絡及服務無法防御混合攻擊。
Radware推出的DefensePro應用安全解決方案,兼具多項安全功能,可有效保護應用基礎設施免受各種網絡安全攻擊和新型的零時攻擊、非漏洞攻擊等,充分滿足用戶對網絡威脅不斷變化而產生的安全需求。
近日,Radware公司還發布了業界第一款APSolute攻擊防御解決方案,這也是業界唯一一款將IPS、NBA及DoS防護等有機結合在一起并協同工作的安全解決方案。在全面保護網絡及數據中心基礎設施免受日益增長的混合威脅攻擊的同時,還有效保證了用戶成本的降低。
云計算給安全帶來很大挑戰,最重要的是,所有服務都被放在了云里面,云相當于整個數據中心的綜合。如果客戶端無法連接云,整個服務就沒有了,所以一定要保障服務的連續性。要保證服務的連續性,就要了解服務。Radware的目的就是保障服務,不影響服務的運行。
與傳統單一數據中心相比,對于云計算中的眾多數據中心,不能把安全防御放到某個防護體系,需要從整體進行安全防護。目前的網絡威脅已經無法僅僅依靠單一處理方案就得以解決,只有將多個安全解決方案有機結合在一起并協同工作,才能全面保護網絡及數據中心基礎設施免受日益增長的混合威脅攻擊。Radware日前推出的APSolute 攻擊防御解決方案能夠防范應用漏洞、信息竊取、驗證失敗、惡意軟件傳播、網絡異常、應用宕機、網絡宕機等安全威脅。
那么云計算的重點在哪里呢?看問題的角度不同,重點也不同,Ziv先生認為,作為云計算核心部分的數據中心就是云計算的安全重點。對于Radware而言從自身優勢出發,把云計算的基礎——網絡作為第一道安全防線,將針對云計算網絡的安全威脅:入侵防御系統(IPS)、網絡行為分析(NBA)和拒絕服務防范混合攻擊(DoS)保護等拒之門外。
對于企業用戶來說,是選擇融合性統一安全產品,還是選擇多款安全產品組成整體安全防護系統呢?僅就理論而言,二者的安全防護效果并無太大差別,都能起到相同的安全防護作用。區別其實在成本上,成本問題才是融合與否的關鍵,因為有些中小企業所能承受的成本僅僅是一臺機器的價格,兩臺機器的購買價格、兩臺機器的看管、維護所需要耗費的人力、物力,這些加在一起就會使成本上升,使得企業無法承受。另外,兩臺設備之間的信息共享與一臺機器內部的信息共享明顯是不同的,后者的信息共享更快捷、方便。前者如果是同一廠商的兩臺設備還好說些,如果是不同廠商的產品,那么設備間的信息共享就十分困難,甚至無法進行信息共享。
