P2P協(xié)作分析可應對攻擊擴散
如果打個比方一位幼兒園老師給一名感冒的小朋友做了標記后,其他老師也快速掌握此種情況,進而采取相應的防傳染措施,避免其傳染給幼兒園其他小朋友一樣,這個道理就是P2P協(xié)作分析應對攻擊擴散的簡版。
傳統(tǒng)分析導致延遲窘境
要想了解P2P協(xié)作分析方法,首先要清楚網(wǎng)絡安全分析的常規(guī)模式。一般來說,由于網(wǎng)絡安全分析經(jīng)常需要對異常流量進行大規(guī)模的人工檢查和威脅分析,導致大多數(shù)企業(yè)會使用自定義軟件或現(xiàn)成軟件的自定義變體來查找安全威脅,所以必須手動將觀察結(jié)果與其他企業(yè)的報告進行比較。
不過這樣的結(jié)果會致使大量網(wǎng)絡延遲出現(xiàn),因為不同企業(yè)的成員還需要在電子郵件收發(fā)、閱讀、確認等各流程上耗費寶貴的防御響應時間。而類似這樣的傳統(tǒng)網(wǎng)絡流量分析速度緩慢,也導致企業(yè)在防范現(xiàn)代攻擊向量方面一直處于防御狀態(tài):比如面臨新一代僵尸網(wǎng)絡和DDoS工具,企業(yè)網(wǎng)絡中增加的不可靠個人設備,以及弱安全的物聯(lián)網(wǎng)設備等等。
何為P2P協(xié)作分析法
因此,企業(yè)急需能夠自動分析的流量模式與相關技術,來應對上述情況以快速響應。這時一種使用協(xié)作的P2P基礎架構(gòu)來自動檢測流量異常并使該信息能夠被共享的新興方法,開始進入企業(yè)安全決策者的眼中,而這個方法就是P2P協(xié)作分析法。
P2P協(xié)作分析方法就是由一個管理員對數(shù)據(jù)流量摘要和可疑流量進行標記后,與P2P網(wǎng)絡架構(gòu)里的其他企業(yè)站點管理員所標記的流量進行比較分析,來判別攻擊威脅的一種方法。這樣的好處是,一旦發(fā)現(xiàn)所比較的已標記流量之間存在任何相似性,就可快速確定是否是真正的攻擊行為,還是來自欺騙地址的流量。
雖然現(xiàn)在有的自動流量分析工具可以幫助解決分析問題,但是通過使用P2P機制對干擾不需要集中管理。企業(yè)可以根據(jù)自己的需要進行自主調(diào)整,并在感到恰當?shù)臅r間來分享信息。測試表明,在部署P2P協(xié)作分析法后,結(jié)果是減少了攻擊檢測時間,降低了管理員的識別工作量,最主要的是有效地緩解網(wǎng)絡威脅。
由孤立變?yōu)閰f(xié)同
網(wǎng)絡安全分析從來不是孤立的,但現(xiàn)實中眾多企業(yè)安全決策者往往由于擔心共享敏感信息外泄,加之安全人員不足,缺乏安全培訓或缺乏相應工具,導致不少安全分析處于獨立與割裂狀態(tài),與其他同行企業(yè)展開流量分析合作的則更是少之又少。然而現(xiàn)在出現(xiàn)的一種基于P2P(點對點)協(xié)作的安全分析方法,卻成為了應對未來網(wǎng)絡攻擊威脅的有效手段之一。
隨著使用P2P協(xié)作分析方法所做的相關流量標識的積累,還可以與P2P網(wǎng)絡共享后打造出可協(xié)同共享的標識庫,來幫助企業(yè)網(wǎng)絡管理員加速響應異常威脅。
減少攻擊傷害
由于孤立的網(wǎng)絡防御系統(tǒng)已被證明效力相當有限,比如面對勒索軟件不堪一擊就是一個很好的例子。而在部署了P2P協(xié)作分析法后,如果勒索軟件發(fā)生在一個站點后,可以與其他站點共享有關導致感染網(wǎng)絡流量的信息,相關流量信息(包括勒索軟件)都可自動傳遞到不同的醫(yī)院站點上。如果其他站點早一步在自己流量中識別出了這種標識,甚至可以在勒索軟件產(chǎn)生影響之前檢測并阻止它們。
可以說,盡早發(fā)現(xiàn)這些攻擊將是減少攻擊傷害的關鍵。因此攻擊開始和攻擊緩解之間的延遲對于許多類型的攻擊是至關重要的。又例如DDoS攻擊,其中額外的時間向攻擊者提供正反饋后,攻擊者將繼續(xù)在目標網(wǎng)絡上發(fā)送越來越多的流量。而P2P協(xié)作分析法則是多個防御者間協(xié)調(diào)他們的響應,利于早檢測早緩解,減少攻擊損失。
識別孤立分析看不到的攻擊
除了上述優(yōu)勢外,P2P協(xié)作分析法的優(yōu)勢還在于可展示單獨站點防護時所看不到的“全景分析”。比如,其中的跨網(wǎng)絡攻擊模型,就可以提供關于攻擊者的目標,攻擊動機以及預測未來行為等信息。而在互聯(lián)網(wǎng)多個位置上部署的流量傳感器則可以揭發(fā)欺騙性流量攻擊,從而提供更有針對性的安全防御機制來打敗攻擊者。
此外,使用P2P協(xié)作分析法的協(xié)作網(wǎng)絡系統(tǒng)還可以在核心ISP和網(wǎng)絡骨干提供商的基礎設施層以及網(wǎng)絡邊緣上發(fā)揮作用,方便運營商了解整個用戶群的狀態(tài)。例如,邊緣ISP可以更快地發(fā)現(xiàn)遭受攻擊的家庭物聯(lián)網(wǎng)設備簽名,并限制家庭路由器的流量。
結(jié)語
目前P2P協(xié)作分析法還是一種較為前衛(wèi)的企業(yè)協(xié)同防護策略,與傳統(tǒng)孤立的檢測和減輕網(wǎng)絡威脅的方法相比,在未來假如云提供商、ISP、VoIP公司和大學校園在網(wǎng)絡中部署P2P協(xié)作分析法后,即使面對大流量的訪問情況,也能夠快速交換信息和分析流量異常,并通過網(wǎng)絡信息共享與分析來加強IT基礎架構(gòu)的防護能力。
返回分頁閱讀本文導航
