在攻击与防范的互相博弈之间,我们即将走过2008年,这一年中我们在媒体上看到各类安全问题和攻击事件更加频繁的出现,从年初的新浪遭受DDoS攻击,到北大、清华网页被篡改,以及一些重要政府部门的Web数据库被入侵篡改,所有这一切既表明了整个社会对网络安全问题的逐步重视,也显示了攻击事件的严重性以及对我们正常网络生活不断恶化的负面影响。
2008安全态势回顾与分析
然而,除了那些众所周之、影响巨大的网络攻击事件之外,绝大部分的攻击在不知不觉中进行,我们的互联网用户在不知不觉中遭受了巨大损失。回顾这一年中的各类安全事件,我们可以看到2008年的安全事件有如下一些新特点:
从黑客角度看:
A、黑客年轻化、趋利性更加明显:随着各种攻击在Internet上的大量扩散,越来越多的年轻人不需要高超的技术即可实现对既定目标的攻击。他们进行这样的攻击,完全不是出于炫耀其技术能力的目的,而是为了直接获取巨大的经济利益,因此何种攻击方式简单、获利大,这种攻击方式被采用的可能性就越大。
B、黑客集团化、正规化的趋势加强:发现攻击利用的系统漏洞、编写针对这些漏洞的恶意代码、通过恶意代码控制的僵尸主机、使用僵尸网络发起DDoS等攻击、攻击获利后的财产转移,这每一个环节都有不同的“专业”人士负责,使得整个攻击过程越来越隐蔽化、正规化,造成的危害也更大。
从攻击手段角度看:
A、僵尸网络快速增加:随着木马、蠕虫等恶意代码在Internet上的自发或被动的快速传播,使得大量主机成为僵尸网络的一部分,据不完全统计,在中国大陆就有超过400万台的僵尸主机,这一数字增在持续的增加中,并且有加速扩增的趋势。
B、DDoS转向应用层的拒绝服务:由于传统DDoS利用海量数据、拥塞网络的攻击方式很容易被监测到,同时运营商在2008年也采取了一定的措施防范这类攻击。但无疑DDoS攻击是最有效、最经济的攻击方式,因此DDoS攻击依然是黑客们首选的攻击方式之一。DDoS攻击目前已从简单的堵塞用户网络变成了针对应用系统的拒绝服务,例如利用大量僵尸网络发起的针对Web应用的Http洪水攻击,通过短时间内大量的Http请求,导致Web服务器的拒绝服务,这种新的DDoS攻击在2008年的增长速度是最快的,而IDC用户、电子商务平台成为其主要攻击目标。
C、针对Web网站的入侵急剧增加:Web站点作为用户对外发布信息、提供业务的主要途径,也是黑客最直接的攻击目标,除了针对Web网站的Http洪水攻击,入侵并篡改Web网站内容也能够为黑客提供巨大的经济效益。黑客们利用Web扫描攻击获取目标Web网站的弱点,然后通过SQL注入修改网站数据库内容、或者暴力破解站点口令强行入侵篡改数据库内容等等攻击事件急剧增加。大量高校、政府、金融单位成为主要受害者。
D、钓鱼等网络欺诈增长迅速:除了技术手段之外,利用社会工程学原理出现的各类钓鱼网站增长迅速,黑客利用这些钓鱼网站诱骗普通用户,盗取游戏帐号、银行帐号等事件不断出现,以此获取大量不正当经济利益。
E、系统漏洞的曝光和利用速度加快:系统漏洞曝光和被黑客利用进行网络入侵、蠕虫传播的速度加快,使得那些原本已经拥有了一定安全措施、具有静态特征检测设备的企业和网络遭受到了巨大打击,任意一个新的漏洞的攻击都可能躲过这些设备,在网络内部肆意横行,对网络的正常运营和业务运行都造成了难以预计的风险。
2009年安全发展形势预测及Radware的应对计划
重要业务的网络化是一个不可逆转的趋势,因此我们可以预知2009年将是一个攻击横行,危机四伏的网络安全攻击爆发年,只是随着国家对网络攻击事件的打击力度的加大和企业、社会网络安全监管措施的加强,攻击的目标将会越来越明确,攻击事件将变得越来越隐蔽,同时会出现一些新的安全趋势:
A、 更多针对应用层的DDoS攻击:黑客主要针对目标的特定应用系统、如Web服务器、SIP服务器等等,进一步摈弃原有的海量数据攻击方式和大范围、无差别的攻击,可能只针对Web服务器中某些隐藏页面进行Http洪水攻击,或者SIP的某些用户进行DDoS攻击。Radware将增加服务器行为分析力度,精确的防范各种服务器攻击,并对SIP等应用服务器实现特征和行为分析相结合的检测方式,以保护更大范围内应用层DDoS攻击。
B、 更多的应用层扫描:黑客将加强对目标系统的信息收集和分析工作,以期在最短的时间内、最有效的入侵应用系统,因此可以想见基于应用层的扫描、口令破解将进一步增加。Radware将提供更多的应用服务器行为分析手段,扩大对应用层扫描和暴力破解的防范范围。
C、传统骗术与Web内容篡改的结合:当用户习惯于从Web站点上获取信息时,Web数据库中信息篡改将成为传统骗术的升级版本,2008年有少量的例子,主要针对政府和高校,而2009年类似的Web数据库入侵和内容篡改将大行其道,其范围也会扩大。Radware在加强DefensePro对Web站点的行为防御能力和特征防御能力之外,引进专门针对WEB站点防护的产品WAF,共同配合保护用户的Web站点。
D、加密的Web站点攻击:越来越多的Web站点采用SSL加密的方式访问,虽然加密能够保护数据的私密性,但是同时也给黑客一条躲避安全设备检测的途径,增加其攻击的隐蔽性,我们预测2009年之后必然将出现针对SSL的大量攻击。Radware的安全免疫系统解决方案能够提供SSL加密状态下的攻击检测与防御,使针对加密Web站点的黑客攻击行为无所遁形。
在2008年全球金融风暴及节能需求的影响下,企业对于如何运用最少资源达成最大效益之考量,成为第一要务. Radware的安全免疫系统解决方案不但提供了保障用户安全、网络安全及服务安全等全方位防护,更提供了“按需升级”的灵活性,无需更换硬件投资即可在线升级处里效能.用最少的投资实现最佳的防御.
Radware安全产品的特征优势
Radware安全设备DefensePro是全方位的安全免疫系统解决方案主角,通过具有专利的行为分析机制,辅助以快速升级的特征检测方式,为广大用户提供全面的安全防范手段,使其远离各类安全事件和攻击企图,不但在2005年就取得了国际安全认证组织NSS的IPS入侵防御认证, 更在2008年获得了NSS 的Attack Mitigator攻击防御认证,成为同时拥有IPS与DDoS攻击防御认证的佼佼者.
DefensePro能学习用户网络及系统的流量行为模式,能够基于流量行为智能分析判断异常的网络流量,在18秒内识别其中的DDoS攻击,并进行智能阻断,而不影响正常流量的传输,是业界最快、最精确的DDoS防范设备。DefensePro能够分析学习服务器的行为模式,基于服务器提供服务行为的差异,智能区分正常的数据包和Http洪水的攻击数据包,第一时间阻断攻击,保证正常服务器应用。
DefensePro的服务器行为分析机制还能够根据服务器的不同行为模式,智能判断正常用户访问行为和Web扫描、暴力破解等恶意行为,允许正常请求,阻断Web扫描、暴力破解等恶意行为,中断黑客入侵Web服务器的第一道工序,提供完善的Web服务器保护。
面对漏洞被快速利用而导致的蠕虫传播,传统的静态特征检测设备由于无法预知特征而显得已经无能为力时,DefensePro独有的客户端行为分析机制,却能够根据每个客户端的行为模式,智能判断其是否感染未知蠕虫,通过精确的特征分析系统,实时生成特征阻断蠕虫传播,同时保证用户正常的对外访问。
针对那些层出不穷的钓鱼网站,Radware和全球知名的防钓鱼网站组织合作,实时升级内部特征库,精确而全面的覆盖全球各类钓鱼网站,保护普通用户不受其欺骗而遭受损失。
DefensePro还提供基于硬件处理的特征分析机制,将那些利用已知漏洞、SQL注入、Web入侵等方式进行攻击的数据包拒之门外,这些特征依靠Radware全球攻击侦测系统进行快速升级,随时与最新的攻击事件同步,为用户提供更进一步的安全保护。
|
京ICP备14024464 公安备案号 京1081234