互联网为人们创造了一个独特的网络社会环境,它的出现可谓是人类历史上划时代的变革。今天,互联网已经渗透到我们生活中的各个方面,甚至已经开始改变现代战争的格局。随着网络技术的不断发展,网络攻击的日趋多样性和复杂性使得虚拟化网络战争所带来的影响足以给任何组织机构带来毁灭性的打击。
当政府或企业发布的政策伤害到少数人的利益,或者被这些人认为对公众不利时,他们就会通过某些黑客组织发动有针对性的网络攻击。 “匿名者”(Anonymous)就常常声称自己的攻击行为是代表公众进行的抗议。该组织不但鼓动人们以匿名的身份发泄愤怒,还要求人们下载安装某些黑客工具并积极参与到攻击行为当中去,由此造成攻击流量在特定时间集中涌向目标,就可轻而易举的让其陷入瘫痪。
为了让更多人轻松加入到攻击的行列中来,充分发挥公众的力量,黑客组织还逐步降低了黑客工具的使用门槛。在2010年底“匿名者”针对金融机构的“报复行动”中,他们就为其“低轨道离子炮”(LOIC)攻击工具先后发布了桌面安装版、手机App版以及纯Web版。(见图1)
(图一:各种黑客工具的使用门槛越来越低)
Radware的安全专家还发现了一种新的逻辑攻击类型,使用传统的防火墙、IPS等安全设备很难将其阻止。例如,黑客们借助一种称为RUDY(R U Dead Yet)的工具进行低流量的慢速攻击,它可以保持连接却不允许服务器将其关闭,从而很快耗尽设备的连接会话表,直至让业务彻底瘫痪。
同时,黑客们更加精心的策划与执行他们的攻击行动。攻击者可能会花上几个月的时间跟踪目标公司的某个员工,乘其不备利用僵尸程序(bot)感染设备,再通过VPN连接里外勾结发起联合攻击。这种内外同时发动的攻击造成的危害更大,防御措施脆弱的的内部服务器在很短的时间内就会被攻占,给整个公司的网络带来灾难性的后果。
统计结果表明,七成以上的APT攻击可包含多达5种不同类型的攻击向量,它们以巨大的DDoS流量做为掩护,并可以根据攻击目标的防御行为不断进行调整,给网络安全人员带来长达数周的噩梦,如果没有网络攻击缓解专家团队的协助,这些公司和组织在面对攻击时都将焦头烂额、束手无策,眼睁睁看着整个防御体系土崩瓦解。
因此,面对持续演变的APT攻击,传统的单点防御解决方案将形同虚设,而简单的技术堆砌及事后修补也将力不从心。所以,各组织机构应当根据自身网络流量的行为特点,采用下一代技术构建防御体系,同时还需要组建一支具有抵御网络攻击经验的应急支持团队。对此,Radware的建议如下:
1、 网络行为分析(NBA)技术成为关键,该智能化的技术可以了解到设备所处的网络环境,在网络行为出现变化时能够建立实时的攻击拦截特征码。并可通过与速率参数的配合检测,区分正常的业务流量与非法的攻击流量,在业务高峰时不会对正常流量产生误判。
2、 网络安全要通过特征码对旧的攻击进行防护,就必须在同一款设备中配备IPS模块,以实现基于NBA的攻击防护。
3、 网络基础架构必须部署DDoS防护层,来阻挡大规模的攻击流量及夹杂在其中的慢速攻击等,这类防护设备应当配备专用的引擎来处理攻击流量,以避免自身成为瓶颈。
4、 IP信誉引擎也必不可少,它可以防御网络钓鱼式攻击,让组织机构可以避免网络欺诈行为的威胁,防止信息泄露。
5、 在尽可能接近服务器的位置,还需要加设Web防火墙,以应对SQL注入等针对网络第7层的攻击,该层防护最好是运行在虚拟服务器上。
6、 网络中还必须有一整套的报告系统,对设备的详细信息提供实时的反馈,方便在遭受到APT带来的多重向量攻击时向网络安全防护团队发出警报。
7、 企业还需要应急响应团队的支持,该团队应当具备处理网络攻击的专长和战胜黑客攻击的成功经验。
Radware DefensePro系列产品将企业针对上述的前4点需求整合到同一个硬件设备中,可切实地为整个网络提供强大的保护。当它被透明的串接网络前端时,攻击者甚至无法探测到他的存在。(见图2)
(图2:Radware DefensePro产品为广大企业提供all in one的强大防御能力)
当这些控制功能被正确部署后,整个防御框架可防范网络攻击造成的主要安全风险,再配合上应急响应团队的支持,才能有效应对日益复杂的APT攻击。Radware的安全专家呼吁各机构尽快建立这些保护措施,以保证自身的安全。