“負(fù)日防御”瓦解“零日攻擊”

卜娜

長久以來，普遍存在在操作系統(tǒng)和應(yīng)用程序中的漏洞一直被黑客所利用，以實(shí)施網(wǎng)絡(luò)攻擊。如今，黑客甚至已將發(fā)現(xiàn)新漏洞并利用其生成攻擊代碼的時間縮短到24小時以內(nèi)，以“零日攻擊”為主導(dǎo)的網(wǎng)絡(luò)攻擊愈演愈烈。更可怕的是，利用這種攻擊模式，黑客不僅能繞過傳統(tǒng)的安全防御體系，還構(gòu)建了大量能高效制造廣泛破壞力的惡意網(wǎng)絡(luò)。

“零日攻擊”被用來構(gòu)建惡意網(wǎng)絡(luò)

近兩年來，“零日攻擊”一直被視為信息安全技術(shù)界的頭號公敵，也是目前最棘手的網(wǎng)安全威脅之一。即使目前具有主動防御功能的安全設(shè)備也不可能百分之百地防御“零日攻擊”。這一方面是由于防御技術(shù)還不完善，存在漏報(bào)、誤報(bào)的可能，另一方面黑客也會在編寫攻擊腳本時通過一些手段逃避安全設(shè)備的檢測。因此，“零日攻擊”的成功率幾乎達(dá)到100%，而且每次都能造成非常廣泛的影響。

不僅如此，黑客利用“零日漏洞”發(fā)起攻擊的方法也在改變。在黑色產(chǎn)業(yè)鏈的驅(qū)動下，網(wǎng)絡(luò)攻擊的目標(biāo)變成了盜取數(shù)據(jù)，而效率太低且影響力較小的直接攻擊目標(biāo)的行為，逐漸被黑客拋棄。當(dāng)前，主流“零日攻擊”的特點(diǎn)表現(xiàn)為：黑客團(tuán)體先控制住大量存在漏洞的服務(wù)器，作為攻擊其他網(wǎng)絡(luò)目標(biāo)的跳板，通過這些受控服務(wù)器形成的惡意網(wǎng)絡(luò)向真正的目標(biāo)發(fā)動攻擊，以便盜取更多的數(shù)據(jù)。

Blue Coat剛剛發(fā)布的《2012網(wǎng)絡(luò)安全報(bào)告》顯示，2011年網(wǎng)絡(luò)威脅中最重大的變化是利用惡意網(wǎng)絡(luò)頻繁發(fā)動網(wǎng)絡(luò)攻擊。這些網(wǎng)絡(luò)架構(gòu)更加復(fù)雜，影響比任何單個攻擊更持久，并且直接導(dǎo)致惡意網(wǎng)站的數(shù)量大幅增長240%。該報(bào)告預(yù)測，2012年，有2/3的網(wǎng)絡(luò)攻擊將源自惡意網(wǎng)絡(luò)。

“負(fù)日防御”在行動

被惡意網(wǎng)絡(luò)放大的“零日攻擊”不再僅是一種難以應(yīng)付的攻擊行為，特別是黑客將它與其他網(wǎng)絡(luò)攻擊手段組合，造成的威脅甚至已遠(yuǎn)遠(yuǎn)超過了我們的想象。Blue Coat《2012網(wǎng)絡(luò)安全報(bào)告》顯示，去年企業(yè)網(wǎng)絡(luò)平均每個月會遭遇5000次以上的網(wǎng)絡(luò)攻擊，搜索引擎中平均每142個搜索結(jié)果就會有一個惡意鏈接。

借助惡意網(wǎng)絡(luò)的攻擊力，用戶“中招”的概率與過去相比大幅增加。但只要安全防御系統(tǒng)還無法識別這些攻擊，安全防范措施就等同于無效，用戶的損失就會出現(xiàn)。可見，新型的“零日攻擊”帶來了更難解的攻防課題。對付這樣的網(wǎng)絡(luò)威脅，我們是否應(yīng)該換個防御思路呢？

今年的RSA大會上，Blue Coat提出了一種全新的防御理念——“負(fù)日防御”，并引起了不小的轟動。這種防御理念主張?jiān)诰W(wǎng)絡(luò)攻擊未發(fā)生之前就開始跟蹤、監(jiān)測準(zhǔn)備發(fā)動攻擊的惡意網(wǎng)絡(luò)的行為，并了解攻擊發(fā)動的形式，在網(wǎng)絡(luò)攻擊發(fā)生的同時對其進(jìn)行攔截，讓使用這類防御技術(shù)的用戶，不必“先中招，再療傷”。Blue Coat支撐“負(fù)日防御”理念的防御系統(tǒng)被稱為WebPulse，它是一個基于云技術(shù)，并且能夠進(jìn)行實(shí)時分析和評級的服務(wù)系統(tǒng)。WebPulse的工作原理是，通過布局在全球各地的數(shù)據(jù)中心，每日接收到來自全球7500萬用戶的10億個網(wǎng)頁內(nèi)容請求。通過對海量請求的自動分析，WebPulse能發(fā)現(xiàn)異常流量并將其與已知的惡意網(wǎng)絡(luò)聯(lián)系起來，在惡意網(wǎng)絡(luò)發(fā)動攻擊前便將其封鎖。透過感知技術(shù)和分析工具，WebPulse目前每天能封鎖大約330萬個威脅。

去年，著名的“調(diào)皮鬼攻擊”真正發(fā)動攻擊的時間是10月6日，為了防止病毒廠商把它攔截住，“調(diào)皮鬼攻擊”持續(xù)10天，并不斷更換攻擊域名和代碼。幾乎所有被動防御機(jī)制都失效了，但使用Blue Coat安全網(wǎng)關(guān)的用戶卻毫發(fā)未損。因?yàn)椤?20天之前，Blue Coat就打入到惡意網(wǎng)絡(luò)中，我們一直在監(jiān)控它，只是不知道它會攻擊誰。當(dāng)它正式發(fā)動攻擊時，我們立刻阻斷了攻擊網(wǎng)絡(luò)和被攻擊網(wǎng)站之間的連接。利用Webpulse，在‘零日攻擊爆發(fā)前，我們就可以進(jìn)行防御?！盉lue Coat大中國區(qū)產(chǎn)品市場經(jīng)理申強(qiáng)表示，目前黑客為經(jīng)營一個惡意網(wǎng)絡(luò)花費(fèi)的精力遠(yuǎn)比攻擊最終目標(biāo)要大得多，主要因?yàn)閻阂饩W(wǎng)絡(luò)的攻擊效率高、影響力大、隱蔽性強(qiáng)且可被重復(fù)利用。而惡意網(wǎng)絡(luò)的建立往往需要黑客團(tuán)體耗費(fèi)幾個月甚至幾年時間才能形成，黑客很難輕易將其拋棄。眾多案例已經(jīng)證明，跟蹤、分析惡意網(wǎng)絡(luò)對于瓦解“零日攻擊”非常有效。

利用WebPulse系統(tǒng)，Blue Coat的安全實(shí)驗(yàn)室在2011年初首先發(fā)現(xiàn)了惡意網(wǎng)絡(luò)，并在全球跟蹤了超過500個主要的惡意網(wǎng)絡(luò)，洞悉他們的一舉一動。一旦攻擊發(fā)生，WebPulse系統(tǒng)就會立即通知全球所有的Blue Coat安全網(wǎng)關(guān)，對其進(jìn)行攔截。不僅如此，借助WebPulse的分析數(shù)據(jù)形成的統(tǒng)一報(bào)告，企業(yè)還能提前發(fā)現(xiàn)APT攻擊及受感染的終端用戶系統(tǒng)，降低數(shù)據(jù)泄露的風(fēng)險(xiǎn)。