在萬(wàn)物互聯(lián)的時(shí)代�����,企業(yè)享受著“互聯(lián)”帶來(lái)的無(wú)盡的“商機(jī)”����。與此同時(shí),黑客也悄悄分享著“互聯(lián)”帶來(lái)的紅利�����。以各種形式的網(wǎng)絡(luò)為戰(zhàn)場(chǎng)����,一場(chǎng)無(wú)形的戰(zhàn)爭(zhēng)正在打響。思科Talos安全情報(bào)及研究團(tuán)隊(duì)分析評(píng)估黑客活動(dòng)��,入侵企圖��,惡意軟件以及漏洞的最新趨勢(shì)�。在這場(chǎng)戰(zhàn)爭(zhēng)中為用戶(hù)提供了強(qiáng)大的后盾支持���。
創(chuàng)新互聯(lián)建站服務(wù)緊隨時(shí)代發(fā)展步伐,進(jìn)行技術(shù)革新和技術(shù)進(jìn)步��,經(jīng)過(guò)10多年的發(fā)展和積累��,已經(jīng)匯集了一批資深網(wǎng)站策劃師��、設(shè)計(jì)師��、專(zhuān)業(yè)的網(wǎng)站實(shí)施團(tuán)隊(duì)以及高素質(zhì)售后服務(wù)人員���,并且完全形成了一套成熟的業(yè)務(wù)流程�,能夠完全依照客戶(hù)要求對(duì)網(wǎng)站進(jìn)行成都網(wǎng)站制作�、成都網(wǎng)站建設(shè)、外貿(mào)營(yíng)銷(xiāo)網(wǎng)站建設(shè)�、建設(shè)、維護(hù)��、更新和改版���,實(shí)現(xiàn)客戶(hù)網(wǎng)站對(duì)外宣傳展示的首要目的,并為客戶(hù)企業(yè)品牌互聯(lián)網(wǎng)化提供全面的解決方案���。
嘉賓介紹
李嵩���,現(xiàn)任思科企業(yè)及商業(yè)事業(yè)部安全顧問(wèn)��。在安全行業(yè)從業(yè)超過(guò)十年�,主要致力于企業(yè)的網(wǎng)絡(luò)安全整體解決方案����,在安全架構(gòu) 安全運(yùn)維 風(fēng)險(xiǎn)評(píng)估有著豐富的經(jīng)驗(yàn),曾經(jīng)作為安全顧問(wèn)為北京奧運(yùn)會(huì)�、新華網(wǎng)、新加坡青年奧運(yùn)會(huì)等重大活動(dòng)提供安全咨詢(xún)����。
以前的防御措施主要采用防火墻和IPS,一旦攻擊來(lái)了就可以快速攔截下來(lái)��,進(jìn)行最快的攻擊類(lèi)型匹配和識(shí)別���,這是早期的企業(yè)常規(guī)部署方式�����。并且互聯(lián)網(wǎng)出口往往被定義為安全威脅的邊界��,但是隨著業(yè)務(wù)本身的擴(kuò)展�����,逐漸意識(shí)到安全是內(nèi)外網(wǎng)都需要保護(hù)的����。安全的結(jié)構(gòu)隨著互聯(lián)網(wǎng)以及客戶(hù)業(yè)務(wù)而變化著,固守的方式已經(jīng)不能真正解決攻擊所帶來(lái)的威脅了�����。所以現(xiàn)在從被動(dòng)防御改為主動(dòng)防御�����,也就是說(shuō)既要把控外網(wǎng)的威脅進(jìn)行防御�����,也要分析內(nèi)網(wǎng)的行為�����,內(nèi)外網(wǎng)兼顧�,從而做到快速實(shí)時(shí)的響應(yīng)�����。內(nèi)網(wǎng)的交換機(jī)和路由器都可以幫助收集信息,當(dāng)威脅分析被確認(rèn)���,便可采取聯(lián)動(dòng)安全���,內(nèi)網(wǎng)的網(wǎng)絡(luò)連接設(shè)備都可以作為安全的攔截點(diǎn),把威脅的隔離信息快速推送到接入點(diǎn)上�,將威脅化解為零,這樣就可以將防御性轉(zhuǎn)換成主動(dòng)性���,讓網(wǎng)絡(luò)的威脅防御更加適合客戶(hù)業(yè)務(wù)的發(fā)展����。
而現(xiàn)在的攻擊方式越來(lái)越隱蔽�,惡意軟件都有一個(gè)潛伏期,在潛伏期中并不會(huì)發(fā)作��,當(dāng)防御系統(tǒng)探測(cè)到這種惡意軟件的時(shí)候����,就會(huì)進(jìn)行長(zhǎng)時(shí)間的監(jiān)控���,同時(shí)獲取其哈希碼確定傳播的軌跡,監(jiān)測(cè)其是否進(jìn)行了端口掃描和傳播�。一旦在其他客戶(hù)網(wǎng)絡(luò)也發(fā)現(xiàn)同樣的惡意軟件爆發(fā),將可以快速同步和查殺���。
另外一種方式���,可以設(shè)置一個(gè)完全真空的空間,讓惡意軟件釋放���,從而了解其危險(xiǎn)性����,一旦發(fā)現(xiàn)有危險(xiǎn)操作便可直接查殺����。這里思科Talos團(tuán)隊(duì)也基于大數(shù)據(jù)平臺(tái)進(jìn)行威脅情報(bào)分析,對(duì)來(lái)自廣域網(wǎng)上的掛馬URL�����、威脅網(wǎng)站、惡意的郵件服務(wù)器以及DNS都進(jìn)行評(píng)級(jí)����,不論點(diǎn)擊惡意網(wǎng)站或者接受威脅郵件,都可以直接匹配威脅情報(bào)進(jìn)行快速除掉����。
惡意軟件的越權(quán)訪問(wèn)就像頑固污漬一樣令人頭痛���。李嵩說(shuō)����,其實(shí)每個(gè)傳播流程中都可以設(shè)攔截點(diǎn)��。惡意軟件在進(jìn)行傳播的時(shí)候�,很多是通過(guò)郵件或者URL使用戶(hù)感染。當(dāng)郵件和Web網(wǎng)關(guān)防御感知到這是惡意行為���,便會(huì)直接查殺��。如果惡意軟件滲入到第二個(gè)環(huán)節(jié)����,進(jìn)行內(nèi)網(wǎng)掃描和傳播時(shí),防御系統(tǒng)會(huì)基于跟蹤內(nèi)網(wǎng)被感染的主機(jī)���,這些主機(jī)是否進(jìn)行越權(quán)訪問(wèn)���,安全與否感染了沒(méi)有。在惡意軟件進(jìn)入第三個(gè)環(huán)節(jié)����,找到重要的宿主機(jī)后就會(huì)開(kāi)始數(shù)據(jù)的盜取,或者進(jìn)行一些惡意操作�����,這時(shí)防御系統(tǒng)可以直接對(duì)其遠(yuǎn)程的CnC主機(jī)進(jìn)行DNS攔截���。最后惡意軟件在主機(jī)的爆發(fā)時(shí)���,通過(guò)主機(jī)層面的查殺,可以直接從主機(jī)層面攔截��。每個(gè)威脅過(guò)程都有相應(yīng)的解決辦法�����,這便組成了完整的思科惡意軟件防護(hù)解決方案。
在此李嵩分享了一個(gè)很有意思的案例���。
思科的有些客戶(hù)經(jīng)常在晚上遭受DDos的攻擊�,廣域網(wǎng)上有超過(guò)60GB的DDoS流量席卷而來(lái)���,使其業(yè)務(wù)無(wú)法正常運(yùn)行���。隨后思科與運(yùn)營(yíng)商共同建立DDos清洗中心,用來(lái)幫助用戶(hù)解決惡意流量的問(wèn)題����。流行的DDos流量分為兩種�����。像大規(guī)模的攻擊���,必須通過(guò)建立“清洗中心”解決��,因?yàn)楹樗呀?jīng)堵到家門(mén)口�,必須聯(lián)合運(yùn)營(yíng)商進(jìn)行清洗�����;應(yīng)用級(jí)別的DDos攻擊,流量較小�����,同樣威脅也很大���,我們可以是直接進(jìn)行業(yè)務(wù)線上清洗�����。
防御方多半會(huì)收集攻擊信息作為“攻擊取證和溯源”��,其實(shí)攻擊方同樣會(huì)收集防御信息����,這是一個(gè)交互博弈的過(guò)程�。現(xiàn)在最流行高持續(xù)型威脅攻擊、惡意信用�����、長(zhǎng)期攻擊等攻擊方式���,不斷收取網(wǎng)絡(luò)防御信息��,每個(gè)防御點(diǎn)的設(shè)備是什么��,還有哪些漏洞�����;防御方也會(huì)不斷收取攻擊信息��,分析�、加固然后擊破攻擊方。所以在攻擊和防御這兩者間���,誰(shuí)能快速建立自己的攻防體系,誰(shuí)能把重要的威脅信息快速共享才是最重要的�。
本文標(biāo)題:思科高級(jí)安全顧問(wèn)李嵩:攻擊來(lái)了怎么防?
URL標(biāo)題:
http://uogjgqi.cn/article/coeijhh.html
