思科研究員兼首席網絡安全研究員PatrickPeterson在最近發布的安全報告中特別談到,因為商業利益原因導致的網絡攻擊在不斷攀升,低廉的犯罪成本再加上利益的驅動,使得僵尸網絡變得越來越難以控制。
云火墻對抗僵尸網絡
就拿最近一段時間大名鼎鼎的Conficker蠕蟲來說,這個最早于2008年11月20日被發現的,以微軟的Windows操作系統為攻擊目標的計算機蠕蟲病毒,到了今年年初,就被《紐約時報》報道其至少感染了900萬臺計算機,而殺毒軟件廠商F-Secure更聲稱感染達到了驚人的1500萬臺。
直到今天,雖然相關補丁已經出現很久,但憑借多個變種版本,Conficker蠕蟲仍將數百萬個系統控制在其魔掌之下,締造了迄今為止規模最大的僵尸之“云”。這些僵尸網絡被以極為低廉的價格,租借給懷有不同目的的犯罪分子,利用這些資源實施網絡拒絕服務攻擊,或者通過SaaS模型散布垃圾郵件和惡意軟件。
反觀安全防護技術,卻遲遲未能見到革命性的進展。以企業應用中最為常見的安全防護產品——防火墻來說,雖然也經過了幾代的發展,從軟件到硬件、從單核到多核,但其根本的被動防護的原理卻基本沒有改變,這也使得其面對變幻多端的僵尸“云”威脅時,總是一籌莫展難以應對。
“信息安全的出路,最終也需要從云中尋找,而所謂的云其實也就是互聯網。”思科安全技術部郭慶顯然對網絡和安全都有著非常深刻的認識,“今天的安全問題之所以讓人困擾,根源就在于網絡的主要特征,正從傳輸向著智能化的云計算演進,正是這一變化,使得新的安全威脅變得更加難以防范。”
郭慶認為,越來越龐大的互聯網正在逐步具備“智能”與“感知”的特性,而這些特性,也恰恰是今天的信息安全產品所需要具備的,也只有具備了這些特性,新一代的信息安全防護體系,才能真正發揮作用。
“現在很多安全產品都面臨著巨大的挑戰,比如‘防火墻無用論’在國外早已有人提出,并且贊同的聲音不少。”郭慶談道,“雖然這樣的言論有失偏頗,但也不無道理,回顧防火墻的發展歷史,從最早的軟件防火墻,發展到硬件防火墻、ASIC防火墻,再到今天熱鬧一時的UTM,盡管性能和功能上都有很大提升,但其最基本的原理大多仍然是檢測靜態的地址表。很顯然,對于不斷變化的僵尸網絡,這樣的防火墻即使性能再高,也難以施展,未來應該屬于新一代的防火墻——云火墻”。
那么,這種從“云”中而來的防火墻究竟具備什么樣的特性?與傳統的防火墻產品相比又有怎樣的區別呢?
云火墻最本質的特點,就是它的動態化和智能化,而其技術實現的途徑,就是充分利用云進行動態實時的威脅信息集中采樣與共享,從而最終實現主動應變的安全服務。”郭慶進一步解釋道,“思科擁有目前全球最龐大的安全威脅監測網絡SensorBase,這就是新一代防火墻的云端(如圖所示)。它可以持續收集威脅的更新信息。這種更新的信息包括互聯網上已知威脅的詳細信息,連續攻擊者、僵尸網絡收獲者、惡意爆發和黑網(DarkNets)等。通過將這些信息實時傳遞到云火墻,可以在僵尸網絡等惡意攻擊者有機會損害重要資產之前及時過濾掉這些攻擊者。”