面對(duì)復(fù)雜多變的網(wǎng)絡(luò)威脅,該如何有效地進(jìn)行防御?這個(gè)問題似乎沒有一個(gè)標(biāo)準(zhǔn)答案,但唯有不斷地改變,才能找到更加有效的方法。
在近日召開的銳捷網(wǎng)絡(luò)2019年合作伙伴大會(huì)上,一款能夠虛擬大量IP、動(dòng)態(tài)改變網(wǎng)絡(luò)拓?fù)?,給攻擊者呈現(xiàn)“網(wǎng)絡(luò)迷宮”的RG-DDP動(dòng)態(tài)防御系統(tǒng)被揭開面紗。它到底有什么魔力,為什么會(huì)被稱為“病毒克星”呢?
勒索軟件愈演愈烈,傳統(tǒng)防毒愈發(fā)吃力
近幾年,越來越多的病毒讓網(wǎng)絡(luò)安全技術(shù)演化的方向受到了前所未有的關(guān)注。比特幣等數(shù)字加密貨幣讓黑產(chǎn)獲利變得簡單,致使勒索軟件、挖礦病毒攻擊頻傳,災(zāi)情遍布全球。然而,在各大安全防護(hù)廠商積極提升防御之術(shù)的時(shí)候,惡意攻擊者也對(duì)自身技藝持續(xù)更新,不斷演進(jìn)出新型或變種網(wǎng)絡(luò)病毒。在這場曠日持久的鏖戰(zhàn)中,基于“已知安全特征”的傳統(tǒng)防毒系統(tǒng)逐漸敗下陣來,始終跟隨病毒演進(jìn)而被動(dòng)處理的方式讓用戶苦不堪言,危機(jī)四伏風(fēng)聲鶴唳。
需要特別指出的是,主機(jī)中毒后的處理屬于事后行為,困難重重代價(jià)過大,要經(jīng)過感知、查殺、加固、定位源頭等復(fù)雜的一系列處理過程,尤其對(duì)于勒索病毒爆發(fā)后除非交付贖金,否則恢復(fù)的概率幾乎為零。所以,擺脫基于“已知安全特征”的傳統(tǒng)防毒系統(tǒng),并且在事前防御監(jiān)測的安全體系就顯得十分重要。
構(gòu)建網(wǎng)絡(luò)迷宮,在“掃描階段”消除危機(jī)
銳捷推出RG-DDP動(dòng)態(tài)防御系統(tǒng)的目標(biāo)就旨在跳出這個(gè)怪圈,其工作機(jī)制更像“反烏托邦科幻三部曲”中的《移動(dòng)迷宮》。在這部被好萊塢拍攝的科幻片中,迷宮呈現(xiàn)的巨石形態(tài)會(huì)出現(xiàn)不斷變化,在真假難辨中,尋找出口(攻擊目標(biāo))則變得異常艱難。那么,RG-DDP又是如何保護(hù)網(wǎng)內(nèi)安全和定位病毒攻擊的呢?
配圖:電影《移動(dòng)迷宮The Maze Runner》劇照
對(duì)于網(wǎng)絡(luò)型傳播的蠕蟲病毒,在病毒傳播階段會(huì)包含兩個(gè)步驟:1、掃描主機(jī)和端口,發(fā)現(xiàn)可利用主機(jī)和端口;2、網(wǎng)絡(luò)掃描階段不涉及業(yè)務(wù)交互,無法區(qū)分是不是真實(shí)IP和端口。
RG-DDP會(huì)虛擬出千萬個(gè)虛擬IP,這其中只有少量真實(shí)主機(jī)IP,我們發(fā)現(xiàn),正常業(yè)務(wù)終端是不會(huì)訪問這些虛擬IP的,而頻繁訪問虛擬IP的極高概率是病毒或攻擊( 廣播組播類或合法探測類業(yè)務(wù)可納入白名單不告警),病毒或網(wǎng)絡(luò)攻擊者在找到真正資產(chǎn)和漏洞前就被RG-DDP捕獲了。
(RG-DDP在192.168.0.X網(wǎng)段虛擬出的部分IP)
安全技術(shù)不斷演進(jìn),銳捷采用了一種全新的防御思維模式,通過構(gòu)建一個(gè)虛擬的、動(dòng)態(tài)的、隨機(jī)變幻的局域網(wǎng)環(huán)境來提升攻擊難度,進(jìn)而可以將危險(xiǎn)消滅在萌芽狀態(tài)。如RG-DDP串聯(lián)部署(可選部署在旁路和串聯(lián)模式)的方式在感知攻擊問題后,可以直接阻斷。
(檢測到3個(gè)攻擊源,RG-DDP串聯(lián)阻斷攻擊)
上述分析,只是對(duì)銳捷“布網(wǎng)抓毒”的方法進(jìn)行了初步介紹,總結(jié)一下:
1、RG-DDP布局了大量動(dòng)態(tài)變換的虛擬主機(jī);
2、動(dòng)態(tài)隨機(jī)地改變虛擬主機(jī)屬性和網(wǎng)絡(luò)拓?fù)洌瑸槊總€(gè)入侵到系統(tǒng)的攻擊呈現(xiàn)一個(gè)動(dòng)態(tài)迷幻的網(wǎng)絡(luò)環(huán)境;
3、攻擊者無法通過不被察覺的方式找到攻擊目標(biāo),從而提升網(wǎng)絡(luò)防滲透的能力,并高效快速定位出攻擊者和病毒源。
此外,RG-DDP中設(shè)定的虛擬主機(jī),即是陷阱,又是探針,通過放大級(jí)別的防御數(shù)量和響應(yīng)速度為用戶贏得了發(fā)現(xiàn)病毒入侵的先機(jī)。
最后,銳捷還結(jié)合SDN、云計(jì)算、大數(shù)據(jù)等技術(shù),通過大數(shù)據(jù)安全管理平臺(tái)深入分析和識(shí)別網(wǎng)絡(luò)攻擊行為,能夠協(xié)助用戶有效地抵御、識(shí)別和定位包括APT攻擊在內(nèi)的網(wǎng)絡(luò)攻擊行為,并最終推動(dòng)網(wǎng)絡(luò)安全管理能力進(jìn)階。
響應(yīng)“關(guān)口前移”技術(shù)倡導(dǎo),彌補(bǔ)市場空白
在2018年全國網(wǎng)絡(luò)安全和信息化工作會(huì)議上,國家領(lǐng)導(dǎo)人強(qiáng)調(diào),構(gòu)建“關(guān)口前移,防患于未然”的網(wǎng)絡(luò)安全管理體系。而“關(guān)口前移”則是以“面向失效的設(shè)計(jì)”為原則,在信息化環(huán)境各層級(jí)結(jié)合網(wǎng)絡(luò)安全防御能力,更強(qiáng)調(diào)主動(dòng)御敵。
安全是個(gè)永恒的話題,發(fā)展至今,很多企業(yè)已經(jīng)在阻斷這一層面做了大量工作,部署了防火墻、防病毒、IPS等基于策略和規(guī)則的安全設(shè)備,然而在安全威脅處理的能力上仍然欠缺。而銳捷在響應(yīng)國家“關(guān)口前移”的技術(shù)倡導(dǎo)下,采用了全新的解法,并以RG-DDP系統(tǒng)的正式推出,彌補(bǔ)了網(wǎng)安全市場上的技術(shù)空白。
