在万物互联的时代,企业享受着“互联”带来的无尽的“商机” 。与此同时,黑客也悄悄分享着“互联”带来的红利 。以各种形式的网络为战场,一场无形的战争正在打响 。思科Talos安全情报及研究团队分析评估黑客活动,入侵企图,恶意软件以及漏洞的最新趋势。在这场战争中为用户提供了强大的后盾支持。
嘉宾介绍
李嵩,现任思科企业及商业事业部安全顾问。在安全行业从业超过十年,主要致力于企业的网络安全整体解决方案,在安全架构 安全运维 风险评估有着丰富的经验,曾经作为安全顾问为北京奥运会、新华网、新加坡青年奥运会等重大活动提供安全咨询。
以前的防御措施主要采用防火墙和IPS,一旦攻击来了就可以快速拦截下来,进行最快的攻击类型匹配和识别,这是早期的企业常规部署方式。并且互联网出口往往被定义为安全威胁的边界,但是随着业务本身的扩展,逐渐意识到安全是内外网都需要保护的。安全的结构随着互联网以及客户业务而变化着,固守的方式已经不能真正解决攻击所带来的威胁了。所以现在从被动防御改为主动防御,也就是说既要把控外网的威胁进行防御,也要分析内网的行为,内外网兼顾,从而做到快速实时的响应。内网的交换机和路由器都可以帮助收集信息,当威胁分析被确认,便可采取联动安全,内网的网络连接设备都可以作为安全的拦截点,把威胁的隔离信息快速推送到接入点上,将威胁化解为零,这样就可以将防御性转换成主动性,让网络的威胁防御更加适合客户业务的发展。
而现在的攻击方式越来越隐蔽,恶意软件都有一个潜伏期,在潜伏期中并不会发作,当防御系统探测到这种恶意软件的时候,就会进行长时间的监控,同时获取其哈希码确定传播的轨迹,监测其是否进行了端口扫描和传播。一旦在其他客户网络也发现同样的恶意软件爆发,将可以快速同步和查杀。
另外一种方式,可以设置一个完全真空的空间,让恶意软件释放,从而了解其危险性,一旦发现有危险操作便可直接查杀。这里思科Talos团队也基于大数据平台进行威胁情报分析,对来自广域网上的挂马URL、威胁网站、恶意的邮件服务器以及DNS都进行评级,不论点击恶意网站或者接受威胁邮件,都可以直接匹配威胁情报进行快速除掉。
恶意软件的越权访问就像顽固污渍一样令人头痛。李嵩说,其实每个传播流程中都可以设拦截点。恶意软件在进行传播的时候,很多是通过邮件或者URL使用户感染。当邮件和Web网关防御感知到这是恶意行为,便会直接查杀。如果恶意软件渗入到第二个环节,进行内网扫描和传播时,防御系统会基于跟踪内网被感染的主机,这些主机是否进行越权访问,安全与否感染了没有。在恶意软件进入第三个环节,找到重要的宿主机后就会开始数据的盗取,或者进行一些恶意操作,这时防御系统可以直接对其远程的CnC主机进行DNS拦截。最后恶意软件在主机的爆发时,通过主机层面的查杀,可以直接从主机层面拦截。每个威胁过程都有相应的解决办法,这便组成了完整的思科恶意软件防护解决方案。
在此李嵩分享了一个很有意思的案例。
思科的有些客户经常在晚上遭受DDos的攻击,广域网上有超过60GB的DDoS流量席卷而来,使其业务无法正常运行。随后思科与运营商共同建立DDos清洗中心,用来帮助用户解决恶意流量的问题。流行的DDos流量分为两种。像大规模的攻击,必须通过建立“清洗中心”解决,因为洪水已经堵到家门口,必须联合运营商进行清洗;应用级别的DDos攻击,流量较小,同样威胁也很大,我们可以是直接进行业务线上清洗。
防御方多半会收集攻击信息作为“攻击取证和溯源”,其实攻击方同样会收集防御信息,这是一个交互博弈的过程。现在最流行高持续型威胁攻击、恶意信用、长期攻击等攻击方式,不断收取网络防御信息,每个防御点的设备是什么,还有哪些漏洞;防御方也会不断收取攻击信息,分析、加固然后击破攻击方。所以在攻击和防御这两者间,谁能快速建立自己的攻防体系,谁能把重要的威胁信息快速共享才是最重要的。