论文部分内容阅读
长久以来,普遍存在在操作系统和应用程序中的漏洞一直被黑客所利用,以实施网络攻击。如今,黑客甚至已将发现新漏洞并利用其生成攻击代码的时间缩短到24小时以内,以“零日攻击”为主导的网络攻击愈演愈烈。更可怕的是,利用这种攻击模式,黑客不仅能绕过传统的安全防御体系,还构建了大量能高效制造广泛破坏力的恶意网络。
“零日攻击”被用来构建恶意网络
近两年来,“零日攻击”一直被视为信息安全技术界的头号公敌,也是目前最棘手的网安全威胁之一。即使目前具有主动防御功能的安全设备也不可能百分之百地防御“零日攻击”。这一方面是由于防御技术还不完善,存在漏报、误报的可能,另一方面黑客也会在编写攻击脚本时通过一些手段逃避安全设备的检测。因此,“零日攻击”的成功率几乎达到100%,而且每次都能造成非常广泛的影响。
不仅如此,黑客利用“零日漏洞”发起攻击的方法也在改变。在黑色产业链的驱动下,网络攻击的目标变成了盗取数据,而效率太低且影响力较小的直接攻击目标的行为,逐渐被黑客抛弃。当前,主流“零日攻击”的特点表现为:黑客团体先控制住大量存在漏洞的服务器,作为攻击其他网络目标的跳板,通过这些受控服务器形成的恶意网络向真正的目标发动攻击,以便盗取更多的数据。
Blue Coat刚刚发布的《2012网络安全报告》显示,2011年网络威胁中最重大的变化是利用恶意网络频繁发动网络攻击。这些网络架构更加复杂,影响比任何单个攻击更持久,并且直接导致恶意网站的数量大幅增长240%。该报告预测,2012年,有2/3的网络攻击将源自恶意网络。
“负日防御”在行动
被恶意网络放大的“零日攻击”不再仅是一种难以应付的攻击行为,特别是黑客将它与其他网络攻击手段组合,造成的威胁甚至已远远超过了我们的想象。Blue Coat《2012网络安全报告》显示,去年企业网络平均每个月会遭遇5000次以上的网络攻击,搜索引擎中平均每142个搜索结果就会有一个恶意链接。
借助恶意网络的攻击力,用户“中招”的概率与过去相比大幅增加。但只要安全防御系统还无法识别这些攻击,安全防范措施就等同于无效,用户的损失就会出现。可见,新型的“零日攻击”带来了更难解的攻防课题。对付这样的网络威胁,我们是否应该换个防御思路呢?
今年的RSA大会上,Blue Coat提出了一种全新的防御理念——“负日防御”,并引起了不小的轰动。这种防御理念主张在网络攻击未发生之前就开始跟踪、监测准备发动攻击的恶意网络的行为,并了解攻击发动的形式,在网络攻击发生的同时对其进行拦截,让使用这类防御技术的用户,不必“先中招,再疗伤”。Blue Coat支撑“负日防御”理念的防御系统被称为WebPulse,它是一个基于云技术,并且能够进行实时分析和评级的服务系统。WebPulse的工作原理是,通过布局在全球各地的数据中心,每日接收到来自全球7500万用户的10亿个网页内容请求。通过对海量请求的自动分析,WebPulse能发现异常流量并将其与已知的恶意网络联系起来,在恶意网络发动攻击前便将其封锁。透过感知技术和分析工具,WebPulse目前每天能封锁大约330万个威胁。
去年,著名的“调皮鬼攻击”真正发动攻击的时间是10月6日,为了防止病毒厂商把它拦截住,“调皮鬼攻击”持续10天,并不断更换攻击域名和代码。几乎所有被动防御机制都失效了,但使用Blue Coat安全网关的用户却毫发未损。因为“120天之前,Blue Coat就打入到恶意网络中,我们一直在监控它,只是不知道它会攻击谁。当它正式发动攻击时,我们立刻阻断了攻击网络和被攻击网站之间的连接。利用Webpulse,在‘零日攻击’爆发前,我们就可以进行防御。”Blue Coat大中国区产品市场经理申强表示,目前黑客为经营一个恶意网络花费的精力远比攻击最终目标要大得多,主要因为恶意网络的攻击效率高、影响力大、隐蔽性强且可被重复利用。而恶意网络的建立往往需要黑客团体耗费几个月甚至几年时间才能形成,黑客很难轻易将其抛弃。众多案例已经证明,跟踪、分析恶意网络对于瓦解“零日攻击”非常有效。
利用WebPulse系统,Blue Coat的安全实验室在2011年初首先发现了恶意网络,并在全球跟踪了超过500个主要的恶意网络,洞悉他们的一举一动。一旦攻击发生,WebPulse系统就会立即通知全球所有的Blue Coat安全网关,对其进行拦截。不仅如此,借助WebPulse的分析数据形成的统一报告,企业还能提前发现APT攻击及受感染的终端用户系统,降低数据泄露的风险。
“零日攻击”被用来构建恶意网络
近两年来,“零日攻击”一直被视为信息安全技术界的头号公敌,也是目前最棘手的网安全威胁之一。即使目前具有主动防御功能的安全设备也不可能百分之百地防御“零日攻击”。这一方面是由于防御技术还不完善,存在漏报、误报的可能,另一方面黑客也会在编写攻击脚本时通过一些手段逃避安全设备的检测。因此,“零日攻击”的成功率几乎达到100%,而且每次都能造成非常广泛的影响。
不仅如此,黑客利用“零日漏洞”发起攻击的方法也在改变。在黑色产业链的驱动下,网络攻击的目标变成了盗取数据,而效率太低且影响力较小的直接攻击目标的行为,逐渐被黑客抛弃。当前,主流“零日攻击”的特点表现为:黑客团体先控制住大量存在漏洞的服务器,作为攻击其他网络目标的跳板,通过这些受控服务器形成的恶意网络向真正的目标发动攻击,以便盗取更多的数据。
Blue Coat刚刚发布的《2012网络安全报告》显示,2011年网络威胁中最重大的变化是利用恶意网络频繁发动网络攻击。这些网络架构更加复杂,影响比任何单个攻击更持久,并且直接导致恶意网站的数量大幅增长240%。该报告预测,2012年,有2/3的网络攻击将源自恶意网络。
“负日防御”在行动
被恶意网络放大的“零日攻击”不再仅是一种难以应付的攻击行为,特别是黑客将它与其他网络攻击手段组合,造成的威胁甚至已远远超过了我们的想象。Blue Coat《2012网络安全报告》显示,去年企业网络平均每个月会遭遇5000次以上的网络攻击,搜索引擎中平均每142个搜索结果就会有一个恶意链接。
借助恶意网络的攻击力,用户“中招”的概率与过去相比大幅增加。但只要安全防御系统还无法识别这些攻击,安全防范措施就等同于无效,用户的损失就会出现。可见,新型的“零日攻击”带来了更难解的攻防课题。对付这样的网络威胁,我们是否应该换个防御思路呢?
今年的RSA大会上,Blue Coat提出了一种全新的防御理念——“负日防御”,并引起了不小的轰动。这种防御理念主张在网络攻击未发生之前就开始跟踪、监测准备发动攻击的恶意网络的行为,并了解攻击发动的形式,在网络攻击发生的同时对其进行拦截,让使用这类防御技术的用户,不必“先中招,再疗伤”。Blue Coat支撑“负日防御”理念的防御系统被称为WebPulse,它是一个基于云技术,并且能够进行实时分析和评级的服务系统。WebPulse的工作原理是,通过布局在全球各地的数据中心,每日接收到来自全球7500万用户的10亿个网页内容请求。通过对海量请求的自动分析,WebPulse能发现异常流量并将其与已知的恶意网络联系起来,在恶意网络发动攻击前便将其封锁。透过感知技术和分析工具,WebPulse目前每天能封锁大约330万个威胁。
去年,著名的“调皮鬼攻击”真正发动攻击的时间是10月6日,为了防止病毒厂商把它拦截住,“调皮鬼攻击”持续10天,并不断更换攻击域名和代码。几乎所有被动防御机制都失效了,但使用Blue Coat安全网关的用户却毫发未损。因为“120天之前,Blue Coat就打入到恶意网络中,我们一直在监控它,只是不知道它会攻击谁。当它正式发动攻击时,我们立刻阻断了攻击网络和被攻击网站之间的连接。利用Webpulse,在‘零日攻击’爆发前,我们就可以进行防御。”Blue Coat大中国区产品市场经理申强表示,目前黑客为经营一个恶意网络花费的精力远比攻击最终目标要大得多,主要因为恶意网络的攻击效率高、影响力大、隐蔽性强且可被重复利用。而恶意网络的建立往往需要黑客团体耗费几个月甚至几年时间才能形成,黑客很难轻易将其抛弃。众多案例已经证明,跟踪、分析恶意网络对于瓦解“零日攻击”非常有效。
利用WebPulse系统,Blue Coat的安全实验室在2011年初首先发现了恶意网络,并在全球跟踪了超过500个主要的恶意网络,洞悉他们的一举一动。一旦攻击发生,WebPulse系统就会立即通知全球所有的Blue Coat安全网关,对其进行拦截。不仅如此,借助WebPulse的分析数据形成的统一报告,企业还能提前发现APT攻击及受感染的终端用户系统,降低数据泄露的风险。