激活云火墻 殲滅網絡僵尸贏網戰勝果
韓國總統府、國防部、外交通商部等政府部門和主要銀行、媒體網站7日晚同時遭分布式拒絕服務(DDoS)攻擊,癱瘓時間長達4小時。時隔一天,韓國警察廳官員在位于首爾的警察廳總部展示一臺被黑客利用來攻擊政府機構網站的電腦。
韓國廣播通信委員會發表聲明稱,共有11個韓國網站在7日晚遭到黑客攻擊,初步的調查顯示,共有12000臺韓國境內的計算機和8000臺韓國境外的計算機被病毒感染并被用于進行此次黑客攻擊。
難以控制的僵尸網絡
探究黑客進行DDoS的攻擊方式,可以得出結論:黑客故意針對不特定的大量計算機植入惡性病毒程序,然后對感染病毒的計算機進行遠程控制,形成僵尸網絡,并操縱這些計算機同時訪問目標網站,致使網站服務器負荷達到極限甚至超載,網站訪問速度大幅減緩,最終陷入癱瘓。
正是因為商業利益的原因導致的網絡攻擊在不斷攀升,低廉的犯罪成本再加上利益的驅動,使得僵尸網絡變得越來越難以控制。
就拿最近一段時間大名鼎鼎的Conficker蠕蟲來說,這個最早于2008年11月20日被發現的,以微軟的Windows操作系統為攻擊目標的計算機蠕蟲病毒。到了今年年初,至少感染數量達到了驚人的一千五百萬臺。
直到今天,雖然相關補丁已經出現很久,但憑借多個變種版本,Conficker蠕蟲仍將數百萬個系統控制在其魔掌之下,締造了迄今為止規模最大的僵尸之“云”。這些僵尸網絡被以極為低廉的價格,租借給懷有不同目的的犯罪分子,利用這些資源實施網絡拒絕服務攻擊,或者通過SaaS模型散布垃圾郵件和惡意軟件。
反觀安全防護的技術,卻遲遲未能見到革命性的進展。以企業應用中最為常見的安全防護產品--防火墻來說,雖然也經過了幾代的發展,從軟件到硬件、從單核到多核,但其根本的被動防護的原理卻基本沒有改變,這也使得其面對變幻多端的僵尸威脅時,總是一籌莫展難以應對。
云中的下一代防火墻
信息安全的出路,最終也需要從云中尋找,而所謂的云其實也就是互聯網,今天的安全問題之所以讓人困擾,根源就在于網絡的主要特征,正從傳輸向著智能化的云計算演進,正是這一變化,使得新的安全威脅變得更加難以防范。
越來越龐大的互聯網正在逐步具備“智能”與“感知”的特性,而這些特性,也恰恰是今天的信息安全產品所需要具備的,也只有具備了這些特性,新一代的信息安全防護體系,才能真正發揮作用。
回顧防火墻的發展歷史,從最早的軟件防火墻,發展到硬件防火墻、ASIC防火墻,再到今天熱鬧一時的UTM,盡管性能和功能上都有很大提升,但其最基本的原理大多仍然是靜態的地址表,很顯然,對于不斷變化的僵尸網絡,這樣的防火墻即使性能再高,也難以施展,未來應該屬于新一代的防火墻--云火墻。
云火墻最本質的特點,就是它的動態化和智能化,而其技術實現的途徑,就是充分利用云進行動態實時的威脅信息集中采樣與共享,從而最終實現主動應變的安全服務。
思科擁有目前全球最龐大的安全威脅監測網絡SensorBase,這就是新一代防火墻的‘云端’。它可以持續收集威脅更新信息。這種更新的信息包括互聯網上已知的威脅的詳細信息,連續攻擊者、僵尸網絡收獲者、惡意爆發和黑網(Dark Nets)等。通過將這些信息實時傳遞到云火墻,可以在僵尸網絡等惡意攻擊者有機會損害重要資產之前及時過濾掉這些攻擊者。
將云火墻“激活”
為什么要激活云火墻,本來對于企業來說,花錢購買防火墻是一種邊界安全的思想和理念,但是有沒有仔細想過。因為防火墻都是默認信任內網,而懷疑外網。因此,防護墻的安全策略基本都是寬出嚴進的法則,這種默認的黃金法則有的時候是致命的。
往往是最為被人們信任的內網,對企業可能造成的傷害最大。由于內網主機感染病毒、蠕蟲、木馬程序后,將會直接導致大量的內網主機被感染后淪為黑客的奴隸。這些主動的發起的惡意請求,卻被我們的防火墻堂而皇之的送到外網,與黑客帝國的主控端程序交互。
也就是說網絡犯罪和信息泄露就發生在防火墻的眼皮底下,而且很可能在我們不知不覺中成為了黑客的幫兇!
而隨著互聯網應用和信息安全的發展需要,下一代防御理念也必須提升。讓防火墻可以自主的自動的自適應的懷疑和檢查內網始發的流量,不要輕易的相信任何流量。自動屏蔽這些惡意的訪問連接,讓內網的僵尸或者傀儡主機、掛馬程序永遠的失去與母體的聯系,最終等待被隨后更新的殺毒軟件殺死。
為了防范惡意的程序會竊取我們個人乃至于企業的信息,我們必須有一張覆蓋全球的情報網(比如思科的SensorBase數據庫),而情報網就像一把大傘,發送這些情報信息給我們部署在各個角落的安全衛士,有了這些信息這些安全衛士就可以輕松的找到潛伏在我們我們企業內網和主機中的內鬼。
不過,盡管云火墻相對傳統的防火墻技術有了很大的提升,但是距離建立起一套真正的現代信息安全防護體系還有著相當的距離,不過,最重要的是,我們可以從中看到邁向未來安全的關鍵路標,而這也正是云安全的本質。
【編輯推薦】
