互聯網為人們創造了一個獨特的網絡社會環境，它的出現可謂是人類歷史上劃時代的變革。今天，互聯網已經滲透到我們生活中的各個方面，甚至已經開始改變現代戰爭的格局。隨著網絡技術的不斷發展，網絡攻擊的日趨多樣性和復雜性使得虛擬化網絡戰爭所帶來的影響足以給任何組織機構帶來毀滅性的打擊。

　　當政府或企業發布的政策傷害到少數人的利益，或者被這些人認為對公眾不利時，他們就會通過某些黑客組織發動有針對性的網絡攻擊。 “匿名者”(Anonymous)就常常聲稱自己的攻擊行為是代表公眾進行的抗議。該組織不但鼓動人們以匿名的身份發泄憤怒，還要求人們下載安裝某些黑客工具并積極參與到攻擊行為當中去，由此造成攻擊流量在特定時間集中涌向目標，就可輕而易舉的讓其陷入癱瘓。

　　為了讓更多人輕松加入到攻擊的行列中來，充分發揮公眾的力量，黑客組織還逐步降低了黑客工具的使用門檻。在2010年底“匿名者”針對金融機構的“報復行動”中，他們就為其“低軌道離子炮”(LOIC)攻擊工具先后發布了桌面安裝版、手機App版以及純Web版。(見圖1)

　　(圖一：各種黑客工具的使用門檻越來越低)

　　Radware的安全專家還發現了一種新的邏輯攻擊類型，使用傳統的防火墻、IPS等安全設備很難將其阻止。例如，黑客們借助一種稱為RUDY(R U Dead Yet)的工具進行低流量的慢速攻擊，它可以保持連接卻不允許服務器將其關閉，從而很快耗盡設備的連接會話表，直至讓業務徹底癱瘓。

　　同時，黑客們更加精心的策劃與執行他們的攻擊行動。攻擊者可能會花上幾個月的時間跟蹤目標公司的某個員工，乘其不備利用僵尸程序(bot)感染設備，再通過VPN連接里外勾結發起聯合攻擊。這種內外同時發動的攻擊造成的危害更大，防御措施脆弱的的內部服務器在很短的時間內就會被攻占，給整個公司的網絡帶來災難性的后果。

　　統計結果表明，七成以上的APT攻擊可包含多達5種不同類型的攻擊向量，它們以巨大的DDoS流量做為掩護，并可以根據攻擊目標的防御行為不斷進行調整，給網絡安全人員帶來長達數周的噩夢，如果沒有網絡攻擊緩解專家團隊的協助，這些公司和組織在面對攻擊時都將焦頭爛額、束手無策，眼睜睜看著整個防御體系土崩瓦解。

　　因此，面對持續演變的APT攻擊，傳統的單點防御解決方案將形同虛設，而簡單的技術堆砌及事后修補也將力不從心。所以，各組織機構應當根據自身網絡流量的行為特點，采用下一代技術構建防御體系，同時還需要組建一支具有抵御網絡攻擊經驗的應急支持團隊。對此，Radware的建議如下：

　　1、 網絡行為分析(NBA)技術成為關鍵，該智能化的技術可以了解到設備所處的網絡環境，在網絡行為出現變化時能夠建立實時的攻擊攔截特征碼。并可通過與速率參數的配合檢測，區分正常的業務流量與非法的攻擊流量，在業務高峰時不會對正常流量產生誤判。

　　2、 網絡安全要通過特征碼對舊的攻擊進行防護，就必須在同一款設備中配備IPS模塊，以實現基于NBA的攻擊防護。

　　3、 網絡基礎架構必須部署DDoS防護層，來阻擋大規模的攻擊流量及夾雜在其中的慢速攻擊等，這類防護設備應當配備專用的引擎來處理攻擊流量，以避免自身成為瓶頸。

　　4、 IP信譽引擎也必不可少，它可以防御網絡釣魚式攻擊，讓組織機構可以避免網絡欺詐行為的威脅，防止信息泄露。

　　5、 在盡可能接近服務器的位置，還需要加設Web防火墻，以應對SQL注入等針對網絡第7層的攻擊，該層防護最好是運行在虛擬服務器上。

　　6、 網絡中還必須有一整套的報告系統，對設備的詳細信息提供實時的反饋，方便在遭受到APT帶來的多重向量攻擊時向網絡安全防護團隊發出警報。

　　7、 企業還需要應急響應團隊的支持，該團隊應當具備處理網絡攻擊的專長和戰勝黑客攻擊的成功經驗。

　　Radware DefensePro系列產品將企業針對上述的前4點需求整合到同一個硬件設備中，可切實地為整個網絡提供強大的保護。當它被透明的串接網絡前端時，攻擊者甚至無法探測到他的存在。(見圖2)

　　(圖2：Radware DefensePro產品為廣大企業提供all in one的強大防御能力)

　　當這些控制功能被正確部署后，整個防御框架可防范網絡攻擊造成的主要安全風險，再配合上應急響應團隊的支持，才能有效應對日益復雜的APT攻擊。Radware的安全專家呼吁各機構盡快建立這些保護措施，以保證自身的安全。