2009年5月19日,DNS Flood 引发多省大规模网络故障事件;2009年7月,美、韩两国政府诸多商务网站和军事网站被频频遭受DoS/DDoS攻击,造成近30个网站访问延迟甚至崩溃;2009年7月,微软、Adobe的漏洞被不法分子利用从而掀起攻击浪潮,导致数千台电脑中毒,多个公司系统瘫痪。2009年8月,Twitter、Facebook和YouTube帐户遭到阻断服务攻击(DoS)。最新的一份业内报告也指出,数百万企业应用正面临DoS/DDoS攻击威胁。Radware资深技术顾问XX表示:"如今的网络安全攻击更大程度上是驱动于巨大的经济利益诱惑,因此来势更凶猛,破坏性更强,所造成的损失也更为惨重。"
应用安全攻击态势进一步恶化
XX指出:"对于企业而言,应用系统一旦遭受攻击,将会面临各方的压力,其中包括应用瘫痪造成的企业业务中断、用户投诉、法律风险等。因此,企业应当尽可能确保应用系统的安全、稳定运行,并建立完善的备份机制和冗余机制,从而确保应用系统的持续可用。"针对当前的应用安全态势,XX对近期业内影响较大的几个事件进行了解读:
软件更新升级易受黑客劫持–刚刚结束的DEFCON全球黑客大会上,Radware安全运营中心负责人Itzik Kotler和安全研究员Tomer Bitton的一份演讲引起了大家的广泛关注。他们指出:数百个当前流行的应用程序都很容易受到中间人攻击(man-in-the-middle attack) ,因为它们都依赖于一个有缺陷的软件更新过程。 黑客们通过劫持软件更新的会话,并向发起更新请求的计算机发送恶意软件作为响应。通常情况下,用户并不知道更新查询已经发送而且被拦截了,他很可能继续在这台受到威胁的计算机上输入敏感信息。Itzik Kotler和Tomer Bitton表示:Alcohol 120, Adobe PDF Reader, GOM Player, HexWorkshop, iMesh和Skype以及其它一些应用软件的更新机制就很容易被利用。XX指出:"各种应用程序都不是无懈可击的,但不法分子们利用软件升级来发起攻击无疑比现有的各种攻击更为前沿,需要引起我们的足够重视。"
DoS/DDoS攻击浪潮在国际上频繁不断–2009年7月,一起大规模、有针对性的DDoS攻击浪潮将矛头对准美、韩两国的商务网站和军事网站等。根据Radware此前发布的消息,该攻击被初步判定为MyDoom(MyDoof.EA)病毒的变种,通过电子邮件的有效负载进行传播,向提前选定的目标发起组织协调严密的DDOS攻击。将近5万-6.5万台计算机成为僵尸网络的傀儡机,这些傀儡机又进一步造成了更大范围的扩散,对美国联邦贸易委员会、纽约证券交易所、Yahoo!网站、美国财政部以及韩国的新韩银行、Naver.com网站、南韩国防部等网站的大量访问造成了网站系统的延迟甚至崩溃。XX指出:"DoS/DDoS攻击浪潮始终频繁不断的发生,网站及运营商需要部署能够对非漏洞威胁、零时攻击、VoIP服务威胁等进行全面防护的安全解决方案,从而实现攻击流量和正常应用的精准区分,在攻击中保护关键业务可用性。"
DoS/DDoS攻击浪潮在国内的兴风作浪–2009年5月18、19日,我国多个省市网络出现瘫痪、堵塞的现象,这是继2006年12月27日台湾地震导致海底光缆中断以来,国内最严重的一次网络事故。事故的起因就是大量"肉鸡"组成的"僵尸网络"对国内最大的免费域名服务提供商DNSPod进行DDoS(分布式拒绝服务)攻击,攻击集中在6台服务器。导致包括国内诸多知名网站在内的大量网站开始间歇性无法访问,最终引发暴风影音域名解析请求超出正常水平,导致网络服务大面积中断。XX认为,DDoS攻击极有可能引发蝴蝶效应,以最开始的小范围攻击导致大规模网络瘫痪,企业应慎重对待针对此类攻击的安全防护。
特征检测+行为分析技术构筑企业安全防线
XX指出:"现有的各种应用安全解决方案在进行攻击拦阻的同时也会将正常流量误挡,也无法有效防御抵挡低速率攻击,且大部分需要人工介入,而以行为分析为基础的拦截技术则可有效解决上述问题。"
Radware DefenseProTM 是实时入侵防护和抗DoS攻击保护系统,其特征检测和基于行为分析的实时特征生成机制保护用户应用构架免于已知攻击和未知威胁。
DefensePro基本特性如下:
◆异常探测及行为分析提供多层入侵防护和DoS防护:DefensePro独家提供了基于行为且自动生成的实时动态特征码,可防范应用误用攻击、服务器蛮力攻击(server brute force attacks)、应用和网络淹没(application and network flooding)攻击等非漏洞威胁以及零分钟攻击。而且,DefensePro是在不拦截合法用户流量且无需人工干预的前提下完成这一切。
◆断电保护和过载保护:即使在断电状态和网络负载过重的情况下,DefensePro也可保有服务器生存和关键应用(web、邮件、FTP、DNS等) 可用性。
◆串联接入/无MAC IP/不需更改网络配置:采用串联接入的方式,无需更改现有的网络配置即可运行,从而降低运营成本。
◆万兆接口及12G 高性能保护:适用于吞吐量最高可达12 Gbps的电子商务和运营商链路安全防护的DoS/DDoS 淹没保护和流量整形功能充分确保用户的安全。
◆集中式配置/管理和详细报告:Radware Insite软件为DefensePro提供了集中管理界面。使DefensePro拥有对集中化设备配置、监控和报告的支持功能,大大提高了对网络安全的可视性和控制能力。
针对近期出现的美韩两国多个网站所遭受的DDOS攻击、国内数省网站遭受的DNS Flood攻击以及iPhone的Safari漏洞,Radware安全运营中心(SOC)均提供了相应的解决办法,迅速化解了用户所面临的安全危机。Radware DefensePro在阻止僵尸网络的傀儡机进一步传播的同时,利用新创建的签名机制确保这些网站以及其他有可能遭受攻击的网站免受这轮攻击浪潮的威胁。
近日,Radware还与RSA共同宣布确立了一项扩大整合型网络犯罪防护的技术合作关系,帮助最终用户提升网络安全防护水平,双方联手建立的主动防御网络层,可7×24小时检测、追踪与关闭来自在线欺诈的网络钓鱼、域名劫持以及木马攻击。由于能够高效防止在线欺诈。作为业内领先的智能网络集成应用解决方案提供商,Radware基于其对网络应用层的深刻理解,不断致力于高水平的精准安全防护,充分保障企业用户应用系统的安全。