僵尸网络日益强大和主动,并且武装得比以往更强悍。据Neustar的报告,在2016年第一季度,僵尸网络发动的攻击达到了3亿次,比2015年同期增长了300%,比2015年最后一季度增加了35%。
很多僵尸网络都被用于发动更强大和更频繁的分布式拒绝服务攻击(DDoS)。Neustar的报告指出,有73%的用户称在2015年遭受了DDoS攻击,而其中的82%反复遭到攻击。僵尸网络还被用于对失窃的登录凭据进行大规模的复杂恶意测试,并查找可轻松利用的系统漏洞。
由于物联网设备加入到被僵尸网络控制的设备中,问题变得更为复杂。最近,安全博主Brian Krebs的网站遭受了历史上最强大的一次DDoS攻击,经证实,由路由器、安全摄像机(监控摄像机)、打印机、数字视频记录机(DVR)构成的大规模僵尸网络是发动此攻击的罪魁祸首。
随着僵尸网络攻击渐趋加强,企业如何更好地保护自己的网络?
两大策略
传统上,对于期望防御僵尸网络攻击的企业来说,可以使用两种主要的策略。第一个与网站和网络的能力有关,即企业应对进入网络的不可预料的峰值通信(由DDoS攻击导致)能力。基于真实网络测试的负载均衡策略通过分散通信量,从而有助于平衡通信的高峰和低谷,对于减轻DDoS企图的影响,这是一个重要方法。然而,即使有效的负载均衡策略也有可能被超大规模的DDoS攻击摧毁,导致应用程序陷于停顿。
第二大策略与实际的安全工具有关,例如防火墙,其关注的是确认和阻止恶意通信。这种策略很有效,但是需要积极地分析大量网络通信的能力,以及确认恶意数据包的能力,并且阻止这些恶意包的能力都给最新一代的高性能防火墙带来沉重负担。将海量的无关通信发给这种设备会极大地削弱其分析性能,从而又在整个网络中造成性能的大量消耗。
智能IP过滤
不过,我们还有第三种策略:首先要通过智能的预过滤来防止僵尸网络产生的恶意通信到达防火墙。这种方法极大地减少了攻击的强度和影响,同时还提高了防火墙和相关安全方案的效率,使得确认威胁和减少虚假的警报更为简单。
要实现此功能,企业需要一个专门的网关来持续监视和主动过滤被僵尸网络控制的IP地址。这个网关要利用实时的不断更新的威胁情报和应用程序关于恶意IP地址(这些地址是已经感染了僵尸的地址或者是保存恶意软件的地址)的情报。然后,在网关收到这些已知的恶意地址的通信时,就会自动地高速过滤掉这些地址,使其无法达到企业网络。
企业可以将同样的策略进行扩展,用以阻止来自企业无业务利益的整个地区的IP地址的通信,或阻止已存在威胁的某地区的IP地址通信。
找到漏洞
使用威胁情报网关来过滤IP通信还有一个好处:网关还可以确定已经存在于网络上的正在偷偷地发送敏感数据给罪犯的僵尸感染。这种网关还可以检查离开网络的通信:如果通信被发往一个已知的僵尸网络的恶意服务器地址,就过滤并自动阻止,永久断开数据泄露。
很明显,IP地址过滤策略的最直接的好处就是极大地减少企业遭受外部僵尸网络的DDoS攻击的机会,也可以阻止由于内部的僵尸感染而造成的数据泄露。但是这种方法还有其它的好处。企业现有的安全基础架构和IT团队可以更高效地发挥功能。一个典型的企业每周可能收到大约近两万次恶意软件警告,并且每年要花费大量金钱用于跟踪一些虚假警告。IP地址过滤可以减少警告次数和虚假的警告消息,从而解放IT团队的资源,减少在防火墙、反病毒、沙箱等方案上的处理成本,并且提升企业应对目标攻击的能力。
智能IP地址过滤利用威胁情报网关,给企业一种由策略驱动的网络通信控制,使企业阻止未知的、恶意的访问者,并且阻止由已有的感染造成的数据泄露和数据破坏。这是对付僵尸网络的一项关键举措。
作者:赵长林
来源:51CTO
