随着5G、云计算、大数据、物联网等新兴数字产业的发展,信息基础设施的建设规模也随之扩大,这无疑会导致越来越多的网络资产暴露在互联网上。这些资产一旦被DDoS攻击者所利用,将会对网络安全带来严重威胁。在2021年防御过程中,绿盟科技曾多次检测出扫段攻击,这类攻击是专门针对现有DDoS监测和防御策略的有针对性的对抗,对被攻击企业来说是极其严峻的挑战。基于威胁情报中心的DDoS攻击防御体系能够调用大量DDoS攻击情报,辅助快速阻断攻击源,充分利用情报资源,实现主动防御。下文以物联网资产为例进行详细分析。
01 威胁情报中心
威胁情报中心是威胁情报分析和共享平台,可为用户提供及时准确的威胁情报数据。借助威胁情报中心的威胁情报支撑,用户可及时洞悉公网资产面临的安全威胁进行准确预警,了解最新的威胁动态,实施积极主动的威胁防御和快速响应策略,结合安全数据的深度分析全面掌握安全威胁态势,并准确地进行威胁追踪和溯源。
02 物联网资产暴露监测
依托威胁情报中心打造的网络空间测绘系统,采用多样化的实时监测技术,可按需灵活弹性扩展扫描并发数,能够在短时间内完成对大量公网资产的监测。截至2021年11月,通过监测发现国内有201万个物联网资产暴露在互联网上,其中摄像头、路由器、VoIP电话数量分别位列前三。
国内物联网资产暴露情况
03 物联网资产风险感知
凭借威胁情报中心丰富的资产指纹数据及强大的威胁情报信息,能够快速发现资产在互联网上的安全状况,以便进行下一步处置,为网络安全防御体系的建立奠定坚实的基础。通过与威胁情报数据进行关联,发现暴露在公网的物联网设备中,约有37万个设备参与了恶意攻击。
异常物联网设备攻击行为分布
在DDoS的安全防护过程中,将上述恶意主机的情报信息传播和分享到本地DDoS防护设备中,对于危害较高的主机及时进行拉黑和阻断,从源头防御DDoS攻击。
恶意物联网设备情报信息
04 僵尸网络家族研究分析
通过僵尸网络家族情报能够及时掌握僵尸网络家族的活跃度、地域分布、漏洞利用情况等详细信息。例如,对僵尸网络漏洞利用情况进行研究分析,发现当前被僵尸网络利用的在野漏洞已达72种,最快可在1天内集成最新漏洞,抢在设备漏洞修复前感染并控制设备。因此,为防止DDoS攻击者利用漏洞扩大僵尸网络规模,应加强对肉鸡的管理,并及时更新系统安全补丁。
BOTNET漏洞利用情况
05 DDoS攻击者画像
利用知识图谱关联分析技术对海量的大数据进行挖掘,通过人工智能算法实现DDoS攻击者画像,及时有效分析攻击者行为、攻击者采取的战术技术以及所属攻击组织,为研究新的DDoS防御算法提供思路,提升对DDoS攻击的检测和防护能力。
DDoS攻击者画像
06 总结
DDoS攻击作为一种传统的网络攻击方式,经久不衰,对网络安全造成了严重威胁。传统的防御方法缺乏数据共享,本地检测出DDoS攻击后,无法做到全网情报共享。然而,基于威胁情报的DDoS防护方式可将最新的威胁情报转化成防护能力,利用多种威胁情报数据快速甄别恶意IP,及时做出应对措施,提升DDoS攻击防护的智能性与先进性。