思科高級安全顧問李嵩:攻擊來了怎么防?
原創(chuàng)在萬物互聯(lián)的時(shí)代,企業(yè)享受著“互聯(lián)”帶來的無盡的“商機(jī)”。與此同時(shí),黑客也悄悄分享著“互聯(lián)”帶來的紅利。以各種形式的網(wǎng)絡(luò)為戰(zhàn)場,一場無形的戰(zhàn)爭正在打響。思科Talos安全情報(bào)及研究團(tuán)隊(duì)分析評估黑客活動,入侵企圖,惡意軟件以及漏洞的最新趨勢。在這場戰(zhàn)爭中為用戶提供了強(qiáng)大的后盾支持。
嘉賓介紹
李嵩,現(xiàn)任思科企業(yè)及商業(yè)事業(yè)部安全顧問。在安全行業(yè)從業(yè)超過十年,主要致力于企業(yè)的網(wǎng)絡(luò)安全整體解決方案,在安全架構(gòu) 安全運(yùn)維 風(fēng)險(xiǎn)評估有著豐富的經(jīng)驗(yàn),曾經(jīng)作為安全顧問為北京奧運(yùn)會、新華網(wǎng)、新加坡青年奧運(yùn)會等重大活動提供安全咨詢。
以前的防御措施主要采用防火墻和IPS,一旦攻擊來了就可以快速攔截下來,進(jìn)行最快的攻擊類型匹配和識別,這是早期的企業(yè)常規(guī)部署方式。并且互聯(lián)網(wǎng)出口往往被定義為安全威脅的邊界,但是隨著業(yè)務(wù)本身的擴(kuò)展,逐漸意識到安全是內(nèi)外網(wǎng)都需要保護(hù)的。安全的結(jié)構(gòu)隨著互聯(lián)網(wǎng)以及客戶業(yè)務(wù)而變化著,固守的方式已經(jīng)不能真正解決攻擊所帶來的威脅了。所以現(xiàn)在從被動防御改為主動防御,也就是說既要把控外網(wǎng)的威脅進(jìn)行防御,也要分析內(nèi)網(wǎng)的行為,內(nèi)外網(wǎng)兼顧,從而做到快速實(shí)時(shí)的響應(yīng)。內(nèi)網(wǎng)的交換機(jī)和路由器都可以幫助收集信息,當(dāng)威脅分析被確認(rèn),便可采取聯(lián)動安全,內(nèi)網(wǎng)的網(wǎng)絡(luò)連接設(shè)備都可以作為安全的攔截點(diǎn),把威脅的隔離信息快速推送到接入點(diǎn)上,將威脅化解為零,這樣就可以將防御性轉(zhuǎn)換成主動性,讓網(wǎng)絡(luò)的威脅防御更加適合客戶業(yè)務(wù)的發(fā)展。
而現(xiàn)在的攻擊方式越來越隱蔽,惡意軟件都有一個(gè)潛伏期,在潛伏期中并不會發(fā)作,當(dāng)防御系統(tǒng)探測到這種惡意軟件的時(shí)候,就會進(jìn)行長時(shí)間的監(jiān)控,同時(shí)獲取其哈希碼確定傳播的軌跡,監(jiān)測其是否進(jìn)行了端口掃描和傳播。一旦在其他客戶網(wǎng)絡(luò)也發(fā)現(xiàn)同樣的惡意軟件爆發(fā),將可以快速同步和查殺。
另外一種方式,可以設(shè)置一個(gè)完全真空的空間,讓惡意軟件釋放,從而了解其危險(xiǎn)性,一旦發(fā)現(xiàn)有危險(xiǎn)操作便可直接查殺。這里思科Talos團(tuán)隊(duì)也基于大數(shù)據(jù)平臺進(jìn)行威脅情報(bào)分析,對來自廣域網(wǎng)上的掛馬URL、威脅網(wǎng)站、惡意的郵件服務(wù)器以及DNS都進(jìn)行評級,不論點(diǎn)擊惡意網(wǎng)站或者接受威脅郵件,都可以直接匹配威脅情報(bào)進(jìn)行快速除掉。
惡意軟件的越權(quán)訪問就像頑固污漬一樣令人頭痛。李嵩說,其實(shí)每個(gè)傳播流程中都可以設(shè)攔截點(diǎn)。惡意軟件在進(jìn)行傳播的時(shí)候,很多是通過郵件或者URL使用戶感染。當(dāng)郵件和Web網(wǎng)關(guān)防御感知到這是惡意行為,便會直接查殺。如果惡意軟件滲入到第二個(gè)環(huán)節(jié),進(jìn)行內(nèi)網(wǎng)掃描和傳播時(shí),防御系統(tǒng)會基于跟蹤內(nèi)網(wǎng)被感染的主機(jī),這些主機(jī)是否進(jìn)行越權(quán)訪問,安全與否感染了沒有。在惡意軟件進(jìn)入第三個(gè)環(huán)節(jié),找到重要的宿主機(jī)后就會開始數(shù)據(jù)的盜取,或者進(jìn)行一些惡意操作,這時(shí)防御系統(tǒng)可以直接對其遠(yuǎn)程的CnC主機(jī)進(jìn)行DNS攔截。最后惡意軟件在主機(jī)的爆發(fā)時(shí),通過主機(jī)層面的查殺,可以直接從主機(jī)層面攔截。每個(gè)威脅過程都有相應(yīng)的解決辦法,這便組成了完整的思科惡意軟件防護(hù)解決方案。
在此李嵩分享了一個(gè)很有意思的案例。
思科的有些客戶經(jīng)常在晚上遭受DDos的攻擊,廣域網(wǎng)上有超過60GB的DDoS流量席卷而來,使其業(yè)務(wù)無法正常運(yùn)行。隨后思科與運(yùn)營商共同建立DDos清洗中心,用來幫助用戶解決惡意流量的問題。流行的DDos流量分為兩種。像大規(guī)模的攻擊,必須通過建立“清洗中心”解決,因?yàn)楹樗呀?jīng)堵到家門口,必須聯(lián)合運(yùn)營商進(jìn)行清洗;應(yīng)用級別的DDos攻擊,流量較小,同樣威脅也很大,我們可以是直接進(jìn)行業(yè)務(wù)線上清洗。
防御方多半會收集攻擊信息作為“攻擊取證和溯源”,其實(shí)攻擊方同樣會收集防御信息,這是一個(gè)交互博弈的過程。現(xiàn)在最流行高持續(xù)型威脅攻擊、惡意信用、長期攻擊等攻擊方式,不斷收取網(wǎng)絡(luò)防御信息,每個(gè)防御點(diǎn)的設(shè)備是什么,還有哪些漏洞;防御方也會不斷收取攻擊信息,分析、加固然后擊破攻擊方。所以在攻擊和防御這兩者間,誰能快速建立自己的攻防體系,誰能把重要的威脅信息快速共享才是最重要的。
