2013年7月10日星期三

Junos Spotlight Secure憑指紋圖譜 駭客無所遁形

流動通訊、雲運算帶動越來越新的Web應用,伺服器更加集中於數據中心,也為網絡安全帶來挑戰。今年的Juniper Solutions Day,一如所料焦點集中於SDN(軟件定義網絡)的部署,也介紹嶄新的網絡保安方案,以雲端技術和指紋圖譜,實時保護數據中心。

IP信譽誤測率高

Juniper亞太區資訊安全資深顧問梁定康介紹,Juniper委託研究機構Ponemon Institute進行的調查顯示;各項網絡攻擊之中,以Web介面,亦即http協定攻擊(web-based attacks)和分散式阻斷服務攻擊(Distributed Denial Of Services attacks),亦即以大量訪問,癱瘓伺服器運作,上述的兩項攻擊,最難以應付。

「故此,逾六成受訪的IT從業員認為,新一代防火牆和IP信譽系統,只解決了部分網絡威脅。」去年,類似cross-site scripting和SQL injection攻擊,連續攻陷多個網站,即使採用新一代防火牆,可拆解層用層資料,也無法準確分辨攻擊,為數據中心實時作出攔截。

梁定康續指,現時採用防火牆等設備,僅限於監察和被動式的防禦,無法主動去截止駭客攻擊。Juniper率先利用雲端服務,為SRX新一代防火牆,加上即時分辨Web攻擊的能力,可主動堵截,或發出預警,留意可疑的訪問設備,先發制人。

「一直以來,業界均主要依靠IP位址偵測攻擊、甚至追蹤駭客。傳統的方法難以準確鎖定目標,誤測(false positive)率偏高,逾半的受訪者表示,大部分防火牆均於「非攔截模式」(non-blocking mode)狀態下運行,以免阻礙正常的使用者,或降低了程式的效能。但此舉卻足以令重要數據,受到攻擊的危機大大增加。」

事實上,IP位址並非獨一無二的特徵。首先,不少機構採用NAT協定或proxy,為內和外部IP轉譯,以供多個內部用戶,共同少數IP外部位址。如此一來,以IP位址攔截,即使擋住惡意攻擊,同時也妨礙其他正常訪問的用戶。專業駭客也多以匿名proxy,不斷轉換IP位址,甚至騎劫不同設備攻擊,均非難事。因此單靠IP位址攔截攻擊,跡近緣木求魚,不得要領。

全球數據庫即時分享情報

「應對新一代安全威脅,須以全新方式,思考網絡的保安,必須放棄傳統針對攻擊點分析,改而專注攻擊者特徵,分析攻擊的行為和特性,準確可靠描述駭客的身份特徵。」

年初,Juniper推出了Junos Spotlight Secure,正利用了http協定不同特徵,精確計算攻擊者設備身份,類似人類獨一無二的生物指紋,來分辨駭客真正身份。

Juniper先以「入侵誘騙技術」(Intrusion Deception)誤導攻擊者,分析收集各項特徵;包括向攻擊設備先植入Cookie碼、「紀錄檔」(Registry)特徵、更新程式版本等資料,製作獨特的指紋圖譜(Fingerprint),並分發到全球數據庫,分享至不同Juniper保安設備。

相較於現時IP的數據庫,Spotlight Secure不單提供IP黑名單、攻擊者嵌入的執行腳本(Script)、攻擊者的時區等,也包括超過二百項屬性,以更準確描繪攻擊者設備特點,計算出輕盈「散列函数」(Hash Value);準確鎖定攻擊的對象,再經雲端即時分享分析情報,供全球的Juniper用戶即時主動防禦攻擊;從來訪者的各項數據計算所得的Hash值,先確認攻擊者身份,又不影響正常使用者。

另外,部署在防火牆與應用服務器之間Junos WebApp Secure,也可利用相關資源。梁定康指,整合已擴展SRX系列,安全範圍內阻止已識別攻擊者,對於阻止僵屍網絡和大型網絡 DDOS攻擊,尤其見效。

「Spotlight Secure以Juniper傳統SRX防火牆為基礎,從網頁應用安全、分散式阻斷攻擊等多方面入手,集合攻擊者和威脅訊息,全球同步、再採用動態的雲端網絡,於不同數據中心和網絡,迅速分享可靠情報,實時保護數據中心。」

梁定康強調,新一代的網絡保安,趨向自動化蒐集情報。Juniper的保安方案有助網絡層之間,實現訊息共享,可作為SDN服務鏈的一部分,協助迅速SDN之上,部署安全服務。

雖然,Juniper率先推出HTTP指紋技術,準確份辨攻擊者身份。今年初,思科也收購捷克的網絡保安商Cognitive Security,同樣利用人工智能技術,實時分析攻擊行為,抵禦進階網絡攻擊,亦可與思科的雲端全球威脅智能系統結合,強化網絡保安方案。雖然思科保安市場上公認略遜於其他廠商,亦正透過收購,急起直追。

沒有留言:

發佈留言