面對復雜多變的網絡威脅,該如何有效地進行防御?這個問題似乎沒有一個標準答案,但唯有不斷地改變,才能找到更加有效的方法。
在近日召開的銳捷網絡2019年合作伙伴大會上,一款能夠虛擬大量IP、動態改變網絡拓撲,給攻擊者呈現“網絡迷宮”的RG-DDP動態防御系統被揭開面紗。它到底有什么魔力,為什么會被稱為“病毒克星”呢?
勒索軟件愈演愈烈,傳統防毒愈發吃力
近幾年,越來越多的病毒讓網絡安全技術演化的方向受到了前所未有的關注。比特幣等數字加密貨幣讓黑產獲利變得簡單,致使勒索軟件、挖礦病毒攻擊頻傳,災情遍布全球。然而,在各大安全防護廠商積極提升防御之術的時候,惡意攻擊者也對自身技藝持續更新,不斷演進出新型或變種網絡病毒。在這場曠日持久的鏖戰中,基于“已知安全特征”的傳統防毒系統逐漸敗下陣來,始終跟隨病毒演進而被動處理的方式讓用戶苦不堪言,危機四伏風聲鶴唳。
需要特別指出的是,主機中毒后的處理屬于事后行為,困難重重代價過大,要經過感知、查殺、加固、定位源頭等復雜的一系列處理過程,尤其對于勒索病毒爆發后除非交付贖金,否則恢復的概率幾乎為零。所以,擺脫基于“已知安全特征”的傳統防毒系統,并且在事前防御監測的安全體系就顯得十分重要。
構建網絡迷宮,在“掃描階段”消除危機
銳捷推出RG-DDP動態防御系統的目標就旨在跳出這個怪圈,其工作機制更像“反烏托邦科幻三部曲”中的《移動迷宮》。在這部被好萊塢拍攝的科幻片中,迷宮呈現的巨石形態會出現不斷變化,在真假難辨中,尋找出口(攻擊目標)則變得異常艱難。那么,RG-DDP又是如何保護網內安全和定位病毒攻擊的呢?
配圖:電影《移動迷宮The Maze Runner》劇照
對于網絡型傳播的蠕蟲病毒,在病毒傳播階段會包含兩個步驟:1、掃描主機和端口,發現可利用主機和端口;2、網絡掃描階段不涉及業務交互,無法區分是不是真實IP和端口。
RG-DDP會虛擬出千萬個虛擬IP,這其中只有少量真實主機IP,我們發現,正常業務終端是不會訪問這些虛擬IP的,而頻繁訪問虛擬IP的極高概率是病毒或攻擊( 廣播組播類或合法探測類業務可納入白名單不告警),病毒或網絡攻擊者在找到真正資產和漏洞前就被RG-DDP捕獲了。
(RG-DDP在192.168.0.X網段虛擬出的部分IP)
安全技術不斷演進,銳捷采用了一種全新的防御思維模式,通過構建一個虛擬的、動態的、隨機變幻的局域網環境來提升攻擊難度,進而可以將危險消滅在萌芽狀態。如RG-DDP串聯部署(可選部署在旁路和串聯模式)的方式在感知攻擊問題后,可以直接阻斷。
(檢測到3個攻擊源,RG-DDP串聯阻斷攻擊)
上述分析,只是對銳捷“布網抓毒”的方法進行了初步介紹,總結一下:
1、RG-DDP布局了大量動態變換的虛擬主機;
2、動態隨機地改變虛擬主機屬性和網絡拓撲,為每個入侵到系統的攻擊呈現一個動態迷幻的網絡環境;
3、攻擊者無法通過不被察覺的方式找到攻擊目標,從而提升網絡防滲透的能力,并高效快速定位出攻擊者和病毒源。
此外,RG-DDP中設定的虛擬主機,即是陷阱,又是探針,通過放大級別的防御數量和響應速度為用戶贏得了發現病毒入侵的先機。
最后,銳捷還結合SDN、云計算、大數據等技術,通過大數據安全管理平臺深入分析和識別網絡攻擊行為,能夠協助用戶有效地抵御、識別和定位包括APT攻擊在內的網絡攻擊行為,并最終推動網絡安全管理能力進階。
響應“關口前移”技術倡導,彌補市場空白
在2018年全國網絡安全和信息化工作會議上,國家領導人強調,構建“關口前移,防患于未然”的網絡安全管理體系。而“關口前移”則是以“面向失效的設計”為原則,在信息化環境各層級結合網絡安全防御能力,更強調主動御敵。
安全是個永恒的話題,發展至今,很多企業已經在阻斷這一層面做了大量工作,部署了防火墻、防病毒、IPS等基于策略和規則的安全設備,然而在安全威脅處理的能力上仍然欠缺。而銳捷在響應國家“關口前移”的技術倡導下,采用了全新的解法,并以RG-DDP系統的正式推出,彌補了網安全市場上的技術空白。
