Radware姚宏洲:https環境的安全威脅和對抗情況
責編:rhliu |2016-11-11 17:28:44Radware介紹。
Radware在全球安全服務有著非常豐富的經驗,包括全球主要的證券交易所、商業銀行、電商、云服務商、運營商都和Radware有著很深切的合作,包含了產品部分,合作方案的部分,安全服務部分。同時,Radware還提供了安全托管。除了安全以外,我們有個全球應急響應小組,可以幫客戶做全面的安全代管。包含港交所等著名客戶。今年得到了SC Magazine,安全代管服務和Frost&Sulliva緩解產品領導獎項,更重要的是和騰訊進行合作,希望今后我們把騰訊云做得更好。
最近,從IoT物聯網的爆發和大數據的收集,這塊的趨勢是不可擋的,這帶來云安全上的威脅。各位可以想像,我們只用一個電腦到人手一個手機,一個平板,到每個家庭里有一個不同的電視以及物聯設備都上網。這樣帶來它的情況SS的環境會非常復雜。從DNS情況來看,通過巨大的設備量產生的安全威脅。對安全防護挑戰是什么呢?網絡上來看基本是同一個源地址,怎么樣在同一個源地址里區分好人和壞人,這是最大的挑戰。
案例介紹。
去年比較出名的案例是ProtonMail,它是提供安全加密服務的郵件服務商,這個事件里,攻擊的維度是非常復雜的。它會有很多不同的攻擊方式,包含DDoS,入侵攻擊、暴力破解和數據竊取,尤其加密以后就更難處理了,因為我們是在網絡中間、云上面怎么樣看到一個數據才能夠針對數據的能夠加以防護。如果看不見就防不了,這是比較麻煩的一點。
去年年底,每一天都有格式不同的攻擊手法,從網絡層的攻擊手法,UDP flood 到SYN flood和DDoS攻擊,它有幾個特點,它會持續不停地攻擊你,攻擊過程中會不停變化手段,如果我們的防護機制沒有立即針對當下攻擊情況做立即的反應,根據人工響應是來不及的。如何建立自動化的防護機制是最重要的。很榮幸,在這次案例過程中Radware幫助客戶把業務保障下來。
這是一個啤酒商Carlsberg,它在去年Euro cup期間遭受了攻擊,Carlsberg把安全服務都交給Radware做全球運營,這次很重要的是,除了把攻擊攔下來以后,客戶的業務不可以受干擾。畢竟我們做防護最終目的是保障業務能夠不受干擾,很順利、很順暢地把業務交付給終端用戶,大大保障了我們業務的連續性。
SSL攻擊重災區是電商。HSN是我們美國一個客戶,交易過程里都是用SSL的,最大的困擾是目前的電商,大部分是和SDN網絡有一個互動,因為要快。SDN網絡進來時對我們的源站比較困難,源地址都被net了,好人、壞人都是一樣的源地址,我們怎么樣把好壞源地址分清楚,做好防護,就像物聯網一樣。
SSL是個加密的機制,我們怎么對加密內容做分析,我們提出了完整的方案。這個忙按的特點是可以在第一時間立即對威脅做出處理,一般我們做云防護很大的問題是啟動防護機制會比較慢。但我們在秒級時間下做處理,包括針對SSL。當我們做SSL防護時,因為要解密,所以會有解密的問題,所以,一般客戶不會把憑證或密鑰交給云服務商來,但Radware的技術可以使用戶不用交原始密鑰過來。
這個方案里我們通過云解決方案和本地端解決方案,在第一時間把攻擊在本地解決,如果攻擊量超過它的帶寬,我們牽引到云端做防護,不會干擾它正常業務。同時,再加上后臺Web應用防火墻的分析,分析它的設備指紋,把設備和IP區別開來,假設在場所有的嘉賓都在SSL站點,可以看出哪些嘉賓在存續我們的站點,從而區分出不同的使用者。
后面我們通過視頻做很快的介紹,看在SSL環境下,Radware是怎么樣提供防護的。
(視頻播放)
通過視頻介紹可以看出在https防護環境下我們可以做到不增加交易的延時,不泄露用戶的隱私,客戶的憑證不用交給我們,沒有所謂“中間人”疑慮的困擾。
Radware技術如何在秒級以內發現這個攻擊,區分正常和異常,包含網絡層的攻擊和應用層的攻擊。這邊是Radware內部的防護邏輯,(圖)平常的應用流量來到設備時,我們會做統計分析,還會做學習,把它存到一個Basetime,當我們發現威脅攻擊程度提高以后,我們會對攻擊做實時的特征分析,這個特征會來到20多種不同的組合,包括網絡層、應用層,比如DNS Pra(音),雖然是一樣的攻擊,可以看出這個攻擊是正常還是異常。
首先會找出幾個可疑的特征,做幾個所謂過濾條件的優化,做個反饋,做特征的驗證,越來越多的防護特征,它有個特點,就是它的誤判率能達到最低,而且能達到很好的防護。整個過程,它全部是自動秒級的,在十幾秒完成所謂的自我檢測防護。最終形成防護特征,各位在這上面可以看得到,目前防護是可以在線防護,不干擾用戶的體驗。在實時歷史里會有分析報告,通過自動化機制,我們可以確保在秒級情況下可以做到0day攻擊做響應,再搭配人工的經驗,ERT應急響應小組分析,做到機器和人的整合,做到手術刀式的攻擊防護。
同時,我們還針對CDN、MAT來源請求流量里,通過設備指紋方式區分不同的設備,什么是設備指紋呢?包含Brocking(音),機器內存,響應的IP插件,同時需要使用者動動滑虎,到特定的地方去確認,這個請求不是通過機器或IoT的root機過來的,通過這樣的方式搭配防護機制來做。
整個防護架構里,我們可以通過云端做所謂的OSR,就是常時防護、按需防護以外,還提供混合云的防護,我們有個客戶設備在客戶的數據機房,可以是internet也可以是在機房的,可以進行對外的處理,當發現對外管道可能被塞滿時,通過安全防護信令把攻擊信息交到云端的防護機房來。
什么是防護信令呢?比如在路上發現某個大樓失火,我們打電話通知消防隊,這個大樓某某戶,幾樓出現了火災,請趕快派消防人員過來。這是個通知的動作,我們的防護心靈可以做得更細,可以達到某某大樓某個房間是因為氣爆引起的火災.
在某個角落,這樣可以分析得更細,讓救火人員帶好正確的裝備來到現場,而不是到了現場才發現它是氣爆式的火災,而是易燃物引起的火災。這樣可以做最佳的防護,不干擾用戶的體驗。再把攻擊流量引入到云端清洗,跟進的流量再跟隨到客戶終端來。
目前,Radware在全球提供2T左右的防護能力,再加上經驗豐富的ERT小組,我們經歷了全球Cyber Security的戰役也很多,包括真偽交易,針對政府的打擊都有很豐富的經驗,提供全球7×24小時的服務。
很高興我們今天能和騰訊云一起為全球客戶提供這樣的服務,謝謝各位!
上一篇:騰訊周斌:數據安全業務上的對抗
下一篇:騰訊吳昊:移動安全威脅