(圖一:各種黑客工具的使用門檻越來(lái)越低)

Radware的安全專家還發(fā)現(xiàn)了一種新的邏輯攻擊類型,使用傳統(tǒng)的防火墻、IPS等安全設(shè)備很難將其阻止。例如,黑客們借助一種稱為RUDY(R U Dead Yet)的工具進(jìn)行低流量的慢速攻擊,它可以保持連接卻不允許服務(wù)器將其關(guān)閉,從而很快耗盡設(shè)備的連接會(huì)話表,直至讓業(yè)務(wù)徹底癱瘓。

同時(shí),黑客們更加精心的策劃與執(zhí)行他們的攻擊行動(dòng)。攻擊者可能會(huì)花上幾個(gè)月的時(shí)間跟蹤目標(biāo)公司的某個(gè)員工,乘其不備利用僵尸程序(bot)感染設(shè)備,再通過(guò)VPN連接里外勾結(jié)發(fā)起聯(lián)合攻擊。這種內(nèi)外同時(shí)發(fā)動(dòng)的攻擊造成的危害更大,防御措施脆弱的的內(nèi)部服務(wù)器在很短的時(shí)間內(nèi)就會(huì)被攻占,給整個(gè)公司的網(wǎng)絡(luò)帶來(lái)災(zāi)難性的后果。

統(tǒng)計(jì)結(jié)果表明,七成以上的APT攻擊可包含多達(dá)5種不同類型的攻擊向量,它們以巨大的DDoS流量做為掩護(hù),并可以根據(jù)攻擊目標(biāo)的防御行為不斷進(jìn)行調(diào)整,給網(wǎng)絡(luò)安全人員帶來(lái)長(zhǎng)達(dá)數(shù)周的噩夢(mèng),如果沒(méi)有網(wǎng)絡(luò)攻擊緩解專家團(tuán)隊(duì)的協(xié)助,這些公司和組織在面對(duì)攻擊時(shí)都將焦頭爛額、束手無(wú)策,眼睜睜看著整個(gè)防御體系土崩瓦解。

因此,面對(duì)持續(xù)演變的APT攻擊,傳統(tǒng)的單點(diǎn)防御解決方案將形同虛設(shè),而簡(jiǎn)單的技術(shù)堆砌及事后修補(bǔ)也將力不從心。所以,各組織機(jī)構(gòu)應(yīng)當(dāng)根據(jù)自身網(wǎng)絡(luò)流量的行為特點(diǎn),采用下一代技術(shù)構(gòu)建防御體系,同時(shí)還需要組建一支具有抵御網(wǎng)絡(luò)攻擊經(jīng)驗(yàn)的應(yīng)急支持團(tuán)隊(duì)。對(duì)此,Radware的建議如下:

1、 網(wǎng)絡(luò)行為分析(NBA)技術(shù)成為關(guān)鍵,該智能化的技術(shù)可以了解到設(shè)備所處的網(wǎng)絡(luò)環(huán)境,在網(wǎng)絡(luò)行為出現(xiàn)變化時(shí)能夠建立實(shí)時(shí)的攻擊攔截特征碼。并可通過(guò)與速率參數(shù)的配合檢測(cè),區(qū)分正常的業(yè)務(wù)流量與非法的攻擊流量,在業(yè)務(wù)高峰時(shí)不會(huì)對(duì)正常流量產(chǎn)生誤判。

2、 網(wǎng)絡(luò)安全要通過(guò)特征碼對(duì)舊的攻擊進(jìn)行防護(hù),就必須在同一款設(shè)備中配備IPS模塊,以實(shí)現(xiàn)基于NBA的攻擊防護(hù)。

3、 網(wǎng)絡(luò)基礎(chǔ)架構(gòu)必須部署DDoS防護(hù)層,來(lái)阻擋大規(guī)模的攻擊流量及夾雜在其中的慢速攻擊等,這類防護(hù)設(shè)備應(yīng)當(dāng)配備專用的引擎來(lái)處理攻擊流量,以避免自身成為瓶頸。

4、 IP信譽(yù)引擎也必不可少,它可以防御網(wǎng)絡(luò)釣魚(yú)式攻擊,讓組織機(jī)構(gòu)可以避免網(wǎng)絡(luò)欺詐行為的威脅,防止信息泄露。

5、 在盡可能接近服務(wù)器的位置,還需要加設(shè)Web防火墻,以應(yīng)對(duì)SQL注入等針對(duì)網(wǎng)絡(luò)第7層的攻擊,該層防護(hù)最好是運(yùn)行在虛擬服務(wù)器上。

6、 網(wǎng)絡(luò)中還必須有一整套的報(bào)告系統(tǒng),對(duì)設(shè)備的詳細(xì)信息提供實(shí)時(shí)的反饋,方便在遭受到APT帶來(lái)的多重向量攻擊時(shí)向網(wǎng)絡(luò)安全防護(hù)團(tuán)隊(duì)發(fā)出警報(bào)。

7、 企業(yè)還需要應(yīng)急響應(yīng)團(tuán)隊(duì)的支持,該團(tuán)隊(duì)?wèi)?yīng)當(dāng)具備處理網(wǎng)絡(luò)攻擊的專長(zhǎng)和戰(zhàn)勝黑客攻擊的成功經(jīng)驗(yàn)。

Radware DefensePro系列產(chǎn)品將企業(yè)針對(duì)上述的前4點(diǎn)需求整合到同一個(gè)硬件設(shè)備中,可切實(shí)地為整個(gè)網(wǎng)絡(luò)提供強(qiáng)大的保護(hù)。當(dāng)它被透明的串接網(wǎng)絡(luò)前端時(shí),攻擊者甚至無(wú)法探測(cè)到他的存在。(見(jiàn)圖2)

(圖2:Radware DefensePro產(chǎn)品為廣大企業(yè)提供all in one的強(qiáng)大防御能力)

當(dāng)這些控制功能被正確部署后,整個(gè)防御框架可防范網(wǎng)絡(luò)攻擊造成的主要安全風(fēng)險(xiǎn),再配合上應(yīng)急響應(yīng)團(tuán)隊(duì)的支持,才能有效應(yīng)對(duì)日益復(fù)雜的APT攻擊。Radware的安全專家呼吁各機(jī)構(gòu)盡快建立這些保護(hù)措施,以保證自身的安全。

分享到

youjia

相關(guān)推薦