Radware介绍。
Radware在全球安全服务有着非常丰富的经验,包括全球主要的证券交易所、商业银行、电商、云服务商、运营商都和Radware有着很深切的合作,包含了产品部分,合作方案的部分,安全服务部分。同时,Radware还提供了安全托管。除了安全以外,我们有个全球应急响应小组,可以帮客户做全面的安全代管。包含港交所等著名客户。今年得到了SC Magazine,安全代管服务和Frost&Sulliva缓解产品领导奖项,更重要的是和腾讯进行合作,希望今后我们把腾讯云做得更好。
最近,从IoT物联网的爆发和大数据的收集,这块的趋势是不可挡的,这带来云安全上的威胁。各位可以想像,我们只用一个电脑到人手一个手机,一个平板,到每个家庭里有一个不同的电视以及物联设备都上网。这样带来它的情况SS的环境会非常复杂。从DNS情况来看,通过巨大的设备量产生的安全威胁。对安全防护挑战是什么呢?网络上来看基本是同一个源地址,怎么样在同一个源地址里区分好人和坏人,这是最大的挑战。
案例介绍。
去年比较出名的案例是ProtonMail,它是提供安全加密服务的邮件服务商,这个事件里,攻击的维度是非常复杂的。它会有很多不同的攻击方式,包含DDoS,入侵攻击、暴力破解和数据窃取,尤其加密以后就更难处理了,因为我们是在网络中间、云上面怎么样看到一个数据才能够针对数据的能够加以防护。如果看不见就防不了,这是比较麻烦的一点。
去年年底,每一天都有格式不同的攻击手法,从网络层的攻击手法,UDP flood 到SYN flood和DDoS攻击,它有几个特点,它会持续不停地攻击你,攻击过程中会不停变化手段,如果我们的防护机制没有立即针对当下攻击情况做立即的反应,根据人工响应是来不及的。如何建立自动化的防护机制是最重要的。很荣幸,在这次案例过程中Radware帮助客户把业务保障下来。
这是一个啤酒商Carlsberg,它在去年Euro cup期间遭受了攻击,Carlsberg把安全服务都交给Radware做全球运营,这次很重要的是,除了把攻击拦下来以后,客户的业务不可以受干扰。毕竟我们做防护最终目的是保障业务能够不受干扰,很顺利、很顺畅地把业务交付给终端用户,大大保障了我们业务的连续性。
SSL攻击重灾区是电商。HSN是我们美国一个客户,交易过程里都是用SSL的,最大的困扰是目前的电商,大部分是和SDN网络有一个互动,因为要快。SDN网络进来时对我们的源站比较困难,源地址都被net了,好人、坏人都是一样的源地址,我们怎么样把好坏源地址分清楚,做好防护,就像物联网一样。
SSL是个加密的机制,我们怎么对加密内容做分析,我们提出了完整的方案。这个忙按的特点是可以在第一时间立即对威胁做出处理,一般我们做云防护很大的问题是启动防护机制会比较慢。但我们在秒级时间下做处理,包括针对SSL。当我们做SSL防护时,因为要解密,所以会有解密的问题,所以,一般客户不会把凭证或密钥交给云服务商来,但Radware的技术可以使用户不用交原始密钥过来。
这个方案里我们通过云解决方案和本地端解决方案,在第一时间把攻击在本地解决,如果攻击量超过它的带宽,我们牵引到云端做防护,不会干扰它正常业务。同时,再加上后台Web应用防火墙的分析,分析它的设备指纹,把设备和IP区别开来,假设在场所有的嘉宾都在SSL站点,可以看出哪些嘉宾在存续我们的站点,从而区分出不同的使用者。
后面我们通过视频做很快的介绍,看在SSL环境下,Radware是怎么样提供防护的。
(视频播放)
通过视频介绍可以看出在https防护环境下我们可以做到不增加交易的延时,不泄露用户的隐私,客户的凭证不用交给我们,没有所谓“中间人”疑虑的困扰。
Radware技术如何在秒级以内发现这个攻击,区分正常和异常,包含网络层的攻击和应用层的攻击。这边是Radware内部的防护逻辑,(图)平常的应用流量来到设备时,我们会做统计分析,还会做学习,把它存到一个Basetime,当我们发现威胁攻击程度提高以后,我们会对攻击做实时的特征分析,这个特征会来到20多种不同的组合,包括网络层、应用层,比如DNS Pra(音),虽然是一样的攻击,可以看出这个攻击是正常还是异常。
首先会找出几个可疑的特征,做几个所谓过滤条件的优化,做个反馈,做特征的验证,越来越多的防护特征,它有个特点,就是它的误判率能达到最低,而且能达到很好的防护。整个过程,它全部是自动秒级的,在十几秒完成所谓的自我检测防护。最终形成防护特征,各位在这上面可以看得到,目前防护是可以在线防护,不干扰用户的体验。在实时历史里会有分析报告,通过自动化机制,我们可以确保在秒级情况下可以做到0day攻击做响应,再搭配人工的经验,ERT应急响应小组分析,做到机器和人的整合,做到手术刀式的攻击防护。
同时,我们还针对CDN、MAT来源请求流量里,通过设备指纹方式区分不同的设备,什么是设备指纹呢?包含Brocking(音),机器内存,响应的IP插件,同时需要使用者动动滑虎,到特定的地方去确认,这个请求不是通过机器或IoT的root机过来的,通过这样的方式搭配防护机制来做。
整个防护架构里,我们可以通过云端做所谓的OSR,就是常时防护、按需防护以外,还提供混合云的防护,我们有个客户设备在客户的数据机房,可以是internet也可以是在机房的,可以进行对外的处理,当发现对外管道可能被塞满时,通过安全防护信令把攻击信息交到云端的防护机房来。
什么是防护信令呢?比如在路上发现某个大楼失火,我们打电话通知消防队,这个大楼某某户,几楼出现了火灾,请赶快派消防人员过来。这是个通知的动作,我们的防护心灵可以做得更细,可以达到某某大楼某个房间是因为气爆引起的火灾.
在某个角落,这样可以分析得更细,让救火人员带好正确的装备来到现场,而不是到了现场才发现它是气爆式的火灾,而是易燃物引起的火灾。这样可以做最佳的防护,不干扰用户的体验。再把攻击流量引入到云端清洗,跟进的流量再跟随到客户终端来。
目前,Radware在全球提供2T左右的防护能力,再加上经验丰富的ERT小组,我们经历了全球Cyber Security的战役也很多,包括真伪交易,针对政府的打击都有很丰富的经验,提供全球7×24小时的服务。
很高兴我们今天能和腾讯云一起为全球客户提供这样的服务,谢谢各位!
上一篇:腾讯周斌:数据安全业务上的对抗
下一篇:腾讯吴昊:移动安全威胁