我们刚才也看了一下我们全网实现一个主动控制是很困难,因为我们整个网络有很多维护,很多接入,网络结构又是非常复杂,你在整个乌龟壳上装上刺是不现实的。但是,我们当时也说了我们其实一个主要突破口就是网站,我们就来做一个取巧,我们来构造一个有刺猬头的乌龟,我们在头上装上刺猬头,把头保护好,其他部分还是沿用以前的龟壳保护。
那么,乌龟的刺猬头到底是什么呢?怎么解决刺猬头的问题,就是我们在网站安全这一块,采取一个主动防御的方式。我们先讲一个完整的主动防御,今天肯定是做不大的,当然是以执法部门牵头,通过咱们业务单位来配合,充分利用先进技术,快速感动网络进攻,跟踪攻击,今天没有一个黑客敢扫描你的网站,一扫描就被抓起来,不是黑了之后才被抓起来,而是一扫描就被抓起来。
当然,完整体系建造需要相当长时间,我们目前努力方向主要有两个。第一提高感知度,什么叫提高感知呢?一个对进攻感知度,首先要识别进攻,不是主动防御,很多防御都能识别进攻,阻断进攻,但其实对攻击者没有震慑作用,你还要能够识别进攻源,这个进攻是来自于哪个区域,是什么组织的进攻,进攻的习惯是什么,到底是善意的还是恶意的,是上级领导来,还是美国政府的演习等等。
第二部分,我们说主动防御,还有反制约功能,有哪些手段?第一就是截断攻击源,并不是把一个攻击阻挡了,这不是主动防御,如果有一个人做了一个攻击,我发现这个人是从这个方向来的攻击,我把这个方向所有链接都阻断,这就是我们叫阻断攻击源。比如我把这个IP地址彻底禁止,IP地址不能访问我整个网络。
第二,跟踪取证,跟踪攻击。当我发现攻击的时候,我也可以不阻挡,然后我进入跟踪状况,我来跟踪你这个攻击源在我整个网站中都做些什么事情,然后我来做一个决定,怎么来学习或者处理。那么,我们做一个主动防御还有一个很重要的就是取证,不知道大家有没有跟咱们网警打交道,每次你去网警打交道都特别关切,第二就会问证据在哪,他希望你取得证据,我们有很多东西都是北京网警高级顾问,你有证据我们立刻抓人,证据也就决定着主动防御中多么迅速关键,我们如果有一个系统一旦有人攻击主动取证,主动防御就会到达一个比较好的地方。
第三,抓捕和起诉,这不是我们事情,我们只是协助抓捕起诉。当然,这种可能我们一些产品如果加以升级是应该能够部分承担。在网站现有安全防护体系中,主动防御,这个图就是目前我们整个网站的一个防护体系,有事前事中事后立体纵深防御构成的,这个立体纵深防御目前实施也确实解决相当大问题,但是从长远来说可能还是不够的,我们就要把主动防御加进去。那么,主动防御加在哪一块呢?我们看这个红圈子地方,就在事中防御,你需要把事中防御产品进行升级,增加一些综合监控,提高他的感知度,提高你的反制能力,这样才能达到主动防御的效果。
我们来做一个被动防御和主动防御对比,这样才能真正理解主动防御是什么。第一,被动防御监控仅仅是攻击,而我们主动防御监控攻击跟攻击相关所有日志信息,我们通过这些信息来识别攻击源。第二识别,我们为了防御识别什么?我们只识别这是不是攻击行为,是攻击行为就去阻止,如果不是就放弃,最重要我们要识别攻击源,这是什么样的组织,什么样的人来攻击,用什么方式来攻击,进行识别。那么,攻击感知度,目前我们有很多检测跟踪产品,但是我们目前攻击感知度还是很低的,因为我们很多时候都被检查的不知道,我们主动防御肯定是高反映度,立刻抓到攻击,不断体现其精准度。
攻击分级很重要,刚才专家提到威胁,我们目前也是这样,你的攻击所有分级都是按照危害严重性分级,如果他的破坏大我们就说挺严重,这是合理的,无可厚非。但其实还有一些别的攻击方法需要考虑,像主动防御,以能够识别攻击的准确性来分级的,可能有些攻击其实挺严重,但是并不能百分之百确认这是攻击,只能说这是可疑攻击,但有的对网络危害不大,你一旦发现就知道是一个很严重的攻击,这对我们进行反思处理也是非常有效的信息。
所以说,没有反对以前攻击分级,我们还有新的能否清晰识别攻击进行一个划分,这就是攻击的分级。然后是反制行为,觉得我把这个攻击阻断了就很安全了,这个主动防御不是这样,至少得阻断攻击源,或者不阻断攻击行为进行更高层面反思,这是我们反制,这是一个安全改制方式。当我们发现这个系统足够安全的时候,我们是怎么改进的,如果你是被动防御就是加固,修补漏洞,增加防护规划,把乌龟壳弄的再坚固一点。当然,我们主动方式就是被动增加,增加识别规则,更精准反制。
