面对复杂多变的网络威胁,该如何有效地进行防御?这个问题似乎没有一个标准答案,但唯有不断地改变,才能找到更加有效的方法。
在近日召开的锐捷网络2019年合作伙伴大会上,一款能够虚拟大量IP、动态改变网络拓扑,给攻击者呈现“网络迷宫”的RG-DDP动态防御系统被揭开面纱。它到底有什么魔力,为什么会被称为“病毒克星”呢?
勒索软件愈演愈烈,传统防毒愈发吃力
近几年,越来越多的病毒让网络安全技术演化的方向受到了前所未有的关注。比特币等数字加密货币让黑产获利变得简单,致使勒索软件、挖矿病毒攻击频传,灾情遍布全球。然而,在各大安全防护厂商积极提升防御之术的时候,恶意攻击者也对自身技艺持续更新,不断演进出新型或变种网络病毒。在这场旷日持久的鏖战中,基于“已知安全特征”的传统防毒系统逐渐败下阵来,始终跟随病毒演进而被动处理的方式让用户苦不堪言,危机四伏风声鹤唳。
需要特别指出的是,主机中毒后的处理属于事后行为,困难重重代价过大,要经过感知、查杀、加固、定位源头等复杂的一系列处理过程,尤其对于勒索病毒爆发后除非交付赎金,否则恢复的概率几乎为零。所以,摆脱基于“已知安全特征”的传统防毒系统,并且在事前防御监测的安全体系就显得十分重要。
构建网络迷宫,在“扫描阶段”消除危机
锐捷推出RG-DDP动态防御系统的目标就旨在跳出这个怪圈,其工作机制更像“反乌托邦科幻三部曲”中的《移动迷宫》。在这部被好莱坞拍摄的科幻片中,迷宫呈现的巨石形态会出现不断变化,在真假难辨中,寻找出口(攻击目标)则变得异常艰难。那么,RG-DDP又是如何保护网内安全和定位病毒攻击的呢?
配图:电影《移动迷宫The Maze Runner》剧照
对于网络型传播的蠕虫病毒,在病毒传播阶段会包含两个步骤:1、扫描主机和端口,发现可利用主机和端口;2、网络扫描阶段不涉及业务交互,无法区分是不是真实IP和端口。
RG-DDP会虚拟出千万个虚拟IP,这其中只有少量真实主机IP,我们发现,正常业务终端是不会访问这些虚拟IP的,而频繁访问虚拟IP的极高概率是病毒或攻击( 广播组播类或合法探测类业务可纳入白名单不告警),病毒或网络攻击者在找到真正资产和漏洞前就被RG-DDP捕获了。
(RG-DDP在192.168.0.X网段虚拟出的部分IP)
安全技术不断演进,锐捷采用了一种全新的防御思维模式,通过构建一个虚拟的、动态的、随机变幻的局域网环境来提升攻击难度,进而可以将危险消灭在萌芽状态。如RG-DDP串联部署(可选部署在旁路和串联模式)的方式在感知攻击问题后,可以直接阻断。
(检测到3个攻击源,RG-DDP串联阻断攻击)
上述分析,只是对锐捷“布网抓毒”的方法进行了初步介绍,总结一下:
此外,RG-DDP中设定的虚拟主机,即是陷阱,又是探针,通过放大级别的防御数量和响应速度为用户赢得了发现病毒入侵的先机。
最后,锐捷还结合SDN、云计算、大数据等技术,通过大数据安全管理平台深入分析和识别网络攻击行为,能够协助用户有效地抵御、识别和定位包括APT攻击在内的网络攻击行为,并最终推动网络安全管理能力进阶。
响应“关口前移”技术倡导,弥补市场空白
在2018年全国网络安全和信息化工作会议上,国家领导人强调,构建“关口前移,防患于未然”的网络安全管理体系。而“关口前移”则是以“面向失效的设计”为原则,在信息化环境各层级结合网络安全防御能力,更强调主动御敌。
安全是个永恒的话题,发展至今,很多企业已经在阻断这一层面做了大量工作,部署了防火墙、防病毒、IPS等基于策略和规则的安全设备,然而在安全威胁处理的能力上仍然欠缺。而锐捷在响应国家“关口前移”的技术倡导下,采用了全新的解法,并以RG-DDP系统的正式推出,弥补了网安全市场上的技术空白。