隨著5G、云計算、大數據、物聯網等新興數字產業的發展,信息基礎設施的建設規模也隨之擴大,這無疑會導致越來越多的網絡資產暴露在互聯網上。這些資產一旦被DDoS攻擊者所利用,將會對網絡安全帶來嚴重威脅。在2021年防御過程中,綠盟科技曾多次檢測出掃段攻擊,這類攻擊是專門針對現有DDoS監測和防御策略的有針對性的對抗,對被攻擊企業來說是極其嚴峻的挑戰。基于威脅情報中心的DDoS攻擊防御體系能夠調用大量DDoS攻擊情報,輔助快速阻斷攻擊源,充分利用情報資源,實現主動防御。下文以物聯網資產為例進行詳細分析。
01 威脅情報中心
威脅情報中心是威脅情報分析和共享平臺,可為用戶提供及時準確的威脅情報數據。借助威脅情報中心的威脅情報支撐,用戶可及時洞悉公網資產面臨的安全威脅進行準確預警,了解最新的威脅動態,實施積極主動的威脅防御和快速響應策略,結合安全數據的深度分析全面掌握安全威脅態勢,并準確地進行威脅追蹤和溯源。
02 物聯網資產暴露監測
依托威脅情報中心打造的網絡空間測繪系統,采用多樣化的實時監測技術,可按需靈活彈性擴展掃描并發數,能夠在短時間內完成對大量公網資產的監測。截至2021年11月,通過監測發現國內有201萬個物聯網資產暴露在互聯網上,其中攝像頭、路由器、VoIP電話數量分別位列前三。
國內物聯網資產暴露情況
03 物聯網資產風險感知
憑借威脅情報中心豐富的資產指紋數據及強大的威脅情報信息,能夠快速發現資產在互聯網上的安全狀況,以便進行下一步處置,為網絡安全防御體系的建立奠定堅實的基礎。通過與威脅情報數據進行關聯,發現暴露在公網的物聯網設備中,約有37萬個設備參與了惡意攻擊。
異常物聯網設備攻擊行為分布
在DDoS的安全防護過程中,將上述惡意主機的情報信息傳播和分享到本地DDoS防護設備中,對于危害較高的主機及時進行拉黑和阻斷,從源頭防御DDoS攻擊。
惡意物聯網設備情報信息
04 僵尸網絡家族研究分析
通過僵尸網絡家族情報能夠及時掌握僵尸網絡家族的活躍度、地域分布、漏洞利用情況等詳細信息。例如,對僵尸網絡漏洞利用情況進行研究分析,發現當前被僵尸網絡利用的在野漏洞已達72種,最快可在1天內集成最新漏洞,搶在設備漏洞修復前感染并控制設備。因此,為防止DDoS攻擊者利用漏洞擴大僵尸網絡規模,應加強對肉雞的管理,并及時更新系統安全補丁。
BOTNET漏洞利用情況
05 DDoS攻擊者畫像
利用知識圖譜關聯分析技術對海量的大數據進行挖掘,通過人工智能算法實現DDoS攻擊者畫像,及時有效分析攻擊者行為、攻擊者采取的戰術技術以及所屬攻擊組織,為研究新的DDoS防御算法提供思路,提升對DDoS攻擊的檢測和防護能力。
DDoS攻擊者畫像
06 總結
DDoS攻擊作為一種傳統的網絡攻擊方式,經久不衰,對網絡安全造成了嚴重威脅。傳統的防御方法缺乏數據共享,本地檢測出DDoS攻擊后,無法做到全網情報共享。然而,基于威脅情報的DDoS防護方式可將最新的威脅情報轉化成防護能力,利用多種威脅情報數據快速甄別惡意IP,及時做出應對措施,提升DDoS攻擊防護的智能性與先進性。
