DOIT 发表于:13年09月25日 10:11 [综述] DOIT.com.cn
网络威胁毫无疑问是现在的首要问题。业务数据、应用程序与网络的完整性、机密性和可用性对于当前的大多数组织至关重要。确保实现这些信息安全重要原则是第一线运营安全团队和 C 级管理人员同样关注的问题,因为安全漏洞在停机时间、失去知识产权和不利的媒体报道方面的成本可能十分高昂。
遗憾的是,我们面临的网络威胁在过去几年内复杂性增大、频率提高且规模扩大,它们背后的动机也变得更加多样。此外,攻击者的进入障碍已几乎消失,因为发起网络攻击所需的技术知识变得更少。当前,几乎任何心怀怨气和具有 Internet 连接的人都可以发起攻击,因为恶意软件工具箱(只需指向并单击便可创建新的恶意软件变体)和“可租用”僵尸网络已唾手可得。
多阶段攻击活动中的涉及方面更多,这表示攻击者的能力显著提高。这些活动可能具有单一目标,如针对一个或多个组织破坏面向 Internet 的服务的可用性。或者,它们可能更加复杂且涉及多种工具和技术,如用于伪装数据窃取或欺诈性财务交易的分布式拒绝服务 (DDoS) 攻击。这些攻击活动具有各种动机,从意识形态黑客主义到网络犯罪甚至是网络战争。更重要的是,它们可能使企业和政府都面临重大风险。
针对美国金融业组织提供的面向 Internet 的服务可用性的最新 DDoS 攻击活动。此活动代号为“燕子行动”,持续了八个月的活动,在Arbor 撰写最新 WISR 时暂时停止,已导致一些防护最严密的企业网络中发生许多引起大量关注的服务中断。这证明了这些攻击向运营安全团队展现的挑战程度。
此外,这些攻击还获得了广泛的媒体报道,从而使人们关注每次攻击及导致的所有服务中断。这会进一步分散负责保护 Internet 服务的运营小组的注意力。这类媒体宣传以及过去其他事件(如针对 Sony 的 Lulzsec 黑客组织攻击)的报道证明 DDoS 攻击如何轻而易举地损害公司声誉和品牌形象。
“燕子行动”攻击活动利用受损的 Web 服务器(而不是更常见的最终用户工作站僵尸程序)以及快速演变的攻击工具和技术,来破坏遭受攻击的组织的防御及其基于云的 DDoS 防护服务。通过同时使用多种攻击平台,“燕子行动”有效地利用了受损 Web 服务器的额外性能和功能。攻击者执行侦察活动来确定目标系统的弱点并相应地调整其攻击。不过,这种利用充足资源的攻击活动的成功率在逐渐降低,因为目标组织及其服务提供商已升级了其防御能力—无论是基础设施还是流程方面。
在 Arbor 的最新 WISR 中,企业受访者将 DDoS 评为主要安全关注点 — 63% 的受访者将针对 Internet 服务可用性的 DDoS 威胁视为头等大事。提出的其他重要关注点包括“行业间谍”(50% 的受访者)和高级持续性威胁(38%的受访者)。威胁已发生变化,企业关注点也随之转换。
由于企业越来越依赖于 Internet 来提供服务、销售产品或访问基于云的数据和应用程序,所以 Internet 连接对业务连续性至关重要。因此,DDoS 形成了重大威胁。DDoS 不再仅仅与导致网络或链路阻塞的大量数据包突发有关。精心制作的隐蔽应用程序层 TCP 状态耗尽和多平台攻击已越来越普遍。这些更加复杂的攻击平台可以躲避纯粹基于云的防护解决方案的探测,直接以具有状态的基础设施(如防火墙、入侵防御系统 (IPS) 和负载平衡器)为目标。DDoS 在不断演变,强大的防御需要分层的专用解决方案来应对此威胁。
用户移动性以及基于云的数据和应用程序解决方案的日益普及改变了企业在维持其业务数据的完整性和机密性方面的思维方式。保持安全的边界现在更加困难,因为边界本身更加难以定义,并且威胁对于逃避检测更加得心应手。捕获威胁需要对网络流量进行更广泛的监视。企业需要了解进行通信的用户和通信内容,以及与这些通信相关联的潜在风险。只有这样它们才能采取措施来抵御威胁。
Arbor Networks 是向服务提供商和企业组织提供流量监视/报告、威胁检测和缓解解决方案的市场领先提供商。Arbor 致力于向所有类型的组织提供网络威胁防护。Arbor 最广为人知是其 IDMS 解决方案。Arbor 的 Pravail APS 平台可保护组织的 Internet 服务可用性。它利用 Arbor 在抵御DDoS 攻击方面超过 12 年的经验,经过彻底设计,易于运行。Pravail APS 基于 Arbor 的 Peakflow® SP 解决方案(由绝大多数服务提供商用于保护其服务和客户)与云和服务提供商 DDoS 防护服务集成。Arbor 解决方案(及基于它们的服务)可以为组织提供更全面的 DDoS 威胁防护。
为抵御网络内部的威胁,Arbor 提供了 Pravail® 网络安全智能(“Pravail NSI”)解决方案。Pravail NSI 旨在使组织可以在其网络上随处监视流量。它们可以轻松地获取和导航网络和用户活动信息 — 从而快速识别违反可接受使用策略的情况及异常行为。它们还可以利用可操作的威胁和声誉数据,以及更高级的威胁识别功能和技术,来阻止任何威胁在组织中获得立足之地。
威胁智能十分重要。ASERT 团队和 ATLAS 系统为 Arbor 提供了针对网络威胁演变的无与伦比的独特监视水平。Arbor将获取的信息提炼为可操作的智能,进而通过馈送提供到 Pravail APS、Pravail NSI、Peakflow SP 和 Peakflow 威胁管理系统(“Peakflow TMS”)解决方案中,以便使它们可以应对最新威胁。
