隨著5G、云計(jì)算、大數(shù)據(jù)、物聯(lián)網(wǎng)等新興數(shù)字產(chǎn)業(yè)的發(fā)展,信息基礎(chǔ)設(shè)施的建設(shè)規(guī)模也隨之?dāng)U大,這無(wú)疑會(huì)導(dǎo)致越來(lái)越多的網(wǎng)絡(luò)資產(chǎn)暴露在互聯(lián)網(wǎng)上。這些資產(chǎn)一旦被DDoS攻擊者所利用,將會(huì)對(duì)網(wǎng)絡(luò)安全帶來(lái)嚴(yán)重威脅。在2021年防御過(guò)程中,綠盟科技曾多次檢測(cè)出掃段攻擊,這類攻擊是專門針對(duì)現(xiàn)有DDoS監(jiān)測(cè)和防御策略的有針對(duì)性的對(duì)抗,對(duì)被攻擊企業(yè)來(lái)說(shuō)是極其嚴(yán)峻的挑戰(zhàn)。基于威脅情報(bào)中心的DDoS攻擊防御體系能夠調(diào)用大量DDoS攻擊情報(bào),輔助快速阻斷攻擊源,充分利用情報(bào)資源,實(shí)現(xiàn)主動(dòng)防御。下文以物聯(lián)網(wǎng)資產(chǎn)為例進(jìn)行詳細(xì)分析。
01 威脅情報(bào)中心
威脅情報(bào)中心是威脅情報(bào)分析和共享平臺(tái),可為用戶提供及時(shí)準(zhǔn)確的威脅情報(bào)數(shù)據(jù)。借助威脅情報(bào)中心的威脅情報(bào)支撐,用戶可及時(shí)洞悉公網(wǎng)資產(chǎn)面臨的安全威脅進(jìn)行準(zhǔn)確預(yù)警,了解最新的威脅動(dòng)態(tài),實(shí)施積極主動(dòng)的威脅防御和快速響應(yīng)策略,結(jié)合安全數(shù)據(jù)的深度分析全面掌握安全威脅態(tài)勢(shì),并準(zhǔn)確地進(jìn)行威脅追蹤和溯源。
02 物聯(lián)網(wǎng)資產(chǎn)暴露監(jiān)測(cè)
依托威脅情報(bào)中心打造的網(wǎng)絡(luò)空間測(cè)繪系統(tǒng),采用多樣化的實(shí)時(shí)監(jiān)測(cè)技術(shù),可按需靈活彈性擴(kuò)展掃描并發(fā)數(shù),能夠在短時(shí)間內(nèi)完成對(duì)大量公網(wǎng)資產(chǎn)的監(jiān)測(cè)。截至2021年11月,通過(guò)監(jiān)測(cè)發(fā)現(xiàn)國(guó)內(nèi)有201萬(wàn)個(gè)物聯(lián)網(wǎng)資產(chǎn)暴露在互聯(lián)網(wǎng)上,其中攝像頭、路由器、VoIP電話數(shù)量分別位列前三。
國(guó)內(nèi)物聯(lián)網(wǎng)資產(chǎn)暴露情況
03 物聯(lián)網(wǎng)資產(chǎn)風(fēng)險(xiǎn)感知
憑借威脅情報(bào)中心豐富的資產(chǎn)指紋數(shù)據(jù)及強(qiáng)大的威脅情報(bào)信息,能夠快速發(fā)現(xiàn)資產(chǎn)在互聯(lián)網(wǎng)上的安全狀況,以便進(jìn)行下一步處置,為網(wǎng)絡(luò)安全防御體系的建立奠定堅(jiān)實(shí)的基礎(chǔ)。通過(guò)與威脅情報(bào)數(shù)據(jù)進(jìn)行關(guān)聯(lián),發(fā)現(xiàn)暴露在公網(wǎng)的物聯(lián)網(wǎng)設(shè)備中,約有37萬(wàn)個(gè)設(shè)備參與了惡意攻擊。
異常物聯(lián)網(wǎng)設(shè)備攻擊行為分布
在DDoS的安全防護(hù)過(guò)程中,將上述惡意主機(jī)的情報(bào)信息傳播和分享到本地DDoS防護(hù)設(shè)備中,對(duì)于危害較高的主機(jī)及時(shí)進(jìn)行拉黑和阻斷,從源頭防御DDoS攻擊。
惡意物聯(lián)網(wǎng)設(shè)備情報(bào)信息
04 僵尸網(wǎng)絡(luò)家族研究分析
通過(guò)僵尸網(wǎng)絡(luò)家族情報(bào)能夠及時(shí)掌握僵尸網(wǎng)絡(luò)家族的活躍度、地域分布、漏洞利用情況等詳細(xì)信息。例如,對(duì)僵尸網(wǎng)絡(luò)漏洞利用情況進(jìn)行研究分析,發(fā)現(xiàn)當(dāng)前被僵尸網(wǎng)絡(luò)利用的在野漏洞已達(dá)72種,最快可在1天內(nèi)集成最新漏洞,搶在設(shè)備漏洞修復(fù)前感染并控制設(shè)備。因此,為防止DDoS攻擊者利用漏洞擴(kuò)大僵尸網(wǎng)絡(luò)規(guī)模,應(yīng)加強(qiáng)對(duì)肉雞的管理,并及時(shí)更新系統(tǒng)安全補(bǔ)丁。
BOTNET漏洞利用情況
05 DDoS攻擊者畫(huà)像
利用知識(shí)圖譜關(guān)聯(lián)分析技術(shù)對(duì)海量的大數(shù)據(jù)進(jìn)行挖掘,通過(guò)人工智能算法實(shí)現(xiàn)DDoS攻擊者畫(huà)像,及時(shí)有效分析攻擊者行為、攻擊者采取的戰(zhàn)術(shù)技術(shù)以及所屬攻擊組織,為研究新的DDoS防御算法提供思路,提升對(duì)DDoS攻擊的檢測(cè)和防護(hù)能力。
DDoS攻擊者畫(huà)像
06 總結(jié)
DDoS攻擊作為一種傳統(tǒng)的網(wǎng)絡(luò)攻擊方式,經(jīng)久不衰,對(duì)網(wǎng)絡(luò)安全造成了嚴(yán)重威脅。傳統(tǒng)的防御方法缺乏數(shù)據(jù)共享,本地檢測(cè)出DDoS攻擊后,無(wú)法做到全網(wǎng)情報(bào)共享。然而,基于威脅情報(bào)的DDoS防護(hù)方式可將最新的威脅情報(bào)轉(zhuǎn)化成防護(hù)能力,利用多種威脅情報(bào)數(shù)據(jù)快速甄別惡意IP,及時(shí)做出應(yīng)對(duì)措施,提升DDoS攻擊防護(hù)的智能性與先進(jìn)性。
