韩国总统府、国防部、外交通商部等政府部门和主要银行、媒体网站7日晚同时遭分布式拒绝服务(DDoS)攻击,瘫痪时间长达4小时。时隔一天,韩国警察厅官员在位于首尔的警察厅总部展示一台被黑客利用来攻击政府机构网站的电脑。
韩国广播通信委员会发表声明称,共有11个韩国网站在7日晚遭到黑客攻击,初步的调查显示,共有12000台韩国境内的计算机和8000台韩国境外的计算机被病毒感染并被用于进行此次黑客攻击。
难以控制的僵尸网络
探究黑客进行DDoS的攻击方式,可以得出结论:黑客故意针对不特定的大量计算机植入恶性病毒程序,然后对感染病毒的计算机进行远程控制,形成僵尸网络,并操纵这些计算机同时访问目标网站,致使网站服务器负荷达到极限甚至超载,网站访问速度大幅减缓,最终陷入瘫痪。
正是因为商业利益的原因导致的网络攻击在不断攀升,低廉的犯罪成本再加上利益的驱动,使得僵尸网络变得越来越难以控制。
就拿最近一段时间大名鼎鼎的Conficker蠕虫来说,这个最早于2008年11月20日被发现的,以微软的Windows操作系统为攻击目标的计算机蠕虫病毒。到了今年年初,至少感染数量达到了惊人的一千五百万台。
直到今天,虽然相关补丁已经出现很久,但凭借多个变种版本,Conficker蠕虫仍将数百万个系统控制在其魔掌之下,缔造了迄今为止规模最大的僵尸之“云”。这些僵尸网络被以极为低廉的价格,租借给怀有不同目的的犯罪分子,利用这些资源实施网络拒绝服务攻击,或者通过SaaS模型散布垃圾邮件和恶意软件。
反观安全防护的技术,却迟迟未能见到革命性的进展。以企业应用中最为常见的安全防护产品--防火墙来说,虽然也经过了几代的发展,从软件到硬件、从单核到多核,但其根本的被动防护的原理却基本没有改变,这也使得其面对变幻多端的僵尸威胁时,总是一筹莫展难以应对。
云中的下一代防火墙
信息安全的出路,最终也需要从云中寻找,而所谓的云其实也就是互联网,今天的安全问题之所以让人困扰,根源就在于网络的主要特征,正从传输向着智能化的云计算演进,正是这一变化,使得新的安全威胁变得更加难以防范。
越来越庞大的互联网正在逐步具备“智能”与“感知”的特性,而这些特性,也恰恰是今天的信息安全产品所需要具备的,也只有具备了这些特性,新一代的信息安全防护体系,才能真正发挥作用。
回顾防火墙的发展历史,从最早的软件防火墙,发展到硬件防火墙、ASIC防火墙,再到今天热闹一时的UTM,尽管性能和功能上都有很大提升,但其最基本的原理大多仍然是静态的地址表,很显然,对于不断变化的僵尸网络,这样的防火墙即使性能再高,也难以施展,未来应该属于新一代的防火墙--云火墙。
云火墙最本质的特点,就是它的动态化和智能化,而其技术实现的途径,就是充分利用云进行动态实时的威胁信息集中采样与共享,从而最终实现主动应变的安全服务。
思科拥有目前全球最庞大的安全威胁监测网络SensorBase,这就是新一代防火墙的‘云端’。它可以持续收集威胁更新信息。这种更新的信息包括互联网上已知的威胁的详细信息,连续攻击者、僵尸网络收获者、恶意爆发和黑网(Dark Nets)等。通过将这些信息实时传递到云火墙,可以在僵尸网络等恶意攻击者有机会损害重要资产之前及时过滤掉这些攻击者。
将云火墙“激活”
为什么要激活云火墙,本来对于企业来说,花钱购买防火墙是一种边界安全的思想和理念,但是有没有仔细想过。因为防火墙都是默认信任内网,而怀疑外网。因此,防护墙的安全策略基本都是宽出严进的法则,这种默认的黄金法则有的时候是致命的。
往往是最为被人们信任的内网,对企业可能造成的伤害最大。由于内网主机感染病毒、蠕虫、木马程序后,将会直接导致大量的内网主机被感染后沦为黑客的奴隶。这些主动的发起的恶意请求,却被我们的防火墙堂而皇之的送到外网,与黑客帝国的主控端程序交互。
也就是说网络犯罪和信息泄露就发生在防火墙的眼皮底下,而且很可能在我们不知不觉中成为了黑客的帮凶!
而随着互联网应用和信息安全的发展需要,下一代防御理念也必须提升。让防火墙可以自主的自动的自适应的怀疑和检查内网始发的流量,不要轻易的相信任何流量。自动屏蔽这些恶意的访问连接,让内网的僵尸或者傀儡主机、挂马程序永远的失去与母体的联系,最终等待被随后更新的杀毒软件杀死。
为了防范恶意的程序会窃取我们个人乃至于企业的信息,我们必须有一张覆盖全球的情报网(比如思科的SensorBase数据库),而情报网就像一把大伞,发送这些情报信息给我们部署在各个角落的安全卫士,有了这些信息这些安全卫士就可以轻松的找到潜伏在我们我们企业内网和主机中的内鬼。
不过,尽管云火墙相对传统的防火墙技术有了很大的提升,但是距离建立起一套真正的现代信息安全防护体系还有着相当的距离,不过,最重要的是,我们可以从中看到迈向未来安全的关键路标,而这也正是云安全的本质。
【编辑推荐】