通信世界网讯(CWW)一份来自CNCERT的数据显示,2013年上半年,中国被木马和僵尸网络控制的主机数量高达693万余台。与此同时,2013年还首次发现了黑客借助移动互联网终端来创建僵尸网络,并进行传播恶意软件的案例。此外,有证据表明,一些机构也会秘密构建了自己僵尸网络,窃取商业等机密信息。所以说,僵尸网络可能就在你我身边,要想抵御它,成功地“发现“它是至关重要的一部。
勤劳并非成功“发现“的解决之道?
虽然大多数传统的安全设备和终端安全软件、包括防病毒软件可以侦测到“已知”的僵尸网络,但真正发现隐藏在最底层的僵尸程序,其难度超出想象。比如,传统的黑客攻击中,一旦某个终端被隐匿的恶意软件所感染,木马程序就把自己嵌入到系统,然后尝试连接黑客等待指令。此时,企业的网络监控工具能够侦测到这些恶意流量并且拦截其中的一部分。但在过去的几年中,黑客已经懂得使用强加密算法通过隧道进行通信,或者他们停止通信,从而将这些恶意程序隐藏下来,藏匿在虚拟机中,在几年之后才真正发动APT攻击的高潮。
你是一个懒惰的人吗?如果之前你可以每天花费1个小时去关注网络日志,并排除那些安全隐患,也许可以很好地远离僵尸攻击。但现在的情况却截然不同,并不是因为网络安全管理人员懒惰,在海量的日志面前,任何一个勤奋的人也会受限于人力及资源不足。
对此,WatchGuard 中国区市场总监万熠表示:大多数企业的僵尸网络监控策略还处在APT攻击还没有流行起来的“远古时代”,这种策略只能适用于终端数量很少,或者相对固定的网络架构中。而在今天网络中发现微小、片段式的恶意流量,首先要解决的就是海量日志管理的难题。其次,要监控到虚拟环境中的流量,或者移动装置可能出现的恶意攻击行为,就需要更先进的发现手段。因此,企业要想避免自己沦为僵尸网络的核心,就是要解决可视化的难题。
Dimension让僵尸网络现形
那坏人赢了吗?显然没有。毕竟我们仍然在使用网上银行,也仍然在进行网上购物。不过鉴于僵尸程序活动日益猖獗,我们必须采取措施抑制僵尸程序活动并揭露其操控者所采用的技术。黑客通过移动僵尸网络来传播恶意软件,将恶意代码防止在企业的虚拟化数据中心,其实这都是迟早会发生的事。而僵尸程序在数量和载体上的空前突破,必然让信息安全管理人员希望获得更多的技术帮助,发现并隔离它们。
为了帮助管理员重新利用日志系统发现僵尸程序,WatchGuard推出了Dimension云安全网络解决方案,这可以帮助管理员利用云计算和大数据技术收集资安情报,并拥有快速定位威胁源头的追踪力。Dimension更可以让深入网络内部的攻击活动清晰可见,让追击僵尸程序源头、立即隔离风险和随时掌控安全趋势的目标得以实现。
当然,还有一种更简单的方法能削弱僵尸操控者的力量,那就是设法使僵尸程序代码难以感染受害者。WatchGuard 安全设备采用了多层次的安全措施,可智能化地适用于多种协议,此外还采用了功能强大的代理技术来过滤流入和流出的流量,可确保网络的安全。管理员可以通过WatchGuard XTM 中独有的“纵深防御”(defense-in-depth)保护体系,对物理网络和BYOD设备中所有内容实现检测和数据泄露告警。而针对虚拟化等传统防火墙和IPS功能上的空白点,WatchGuard还推出了XTMv和XCSv,对虚拟基础设备之间的内部流量提供监控,让僵尸程序无处藏身。
|