返回IT运维网
  • |
  • 文章EID:
  • |
  • 账号:
  • 密码:
F5金飞:关于物联网安全的那些事
2018-03-27 IT运维网 / IT运维网

      近期,物联网的世界可谓麻烦不断——摄像头惨被当作“肉鸡”并发动DDoS攻击,摄像头“直播”事件,用户莫名其妙被直播并招致个人隐私泄露,由物联网设备组成的僵尸网络来袭等等,物联网安全牵动着人们的神经。随着物联网的大量普及,物联网安全事件也在迅速增多,IT运维网记者采访了F5 Networks公司亚太区安全解决方案架构师金飞,共同畅聊物联网安全的那些事儿。

F5亚太区安全解决方案架构师 金飞

记者:当前物联网设备面临怎样的安全威胁?

金飞:现在正处于物联网被大量部署的阶段,比如家用摄像头,当用户买的时候很少会考虑去修改默认口令和配置,更不用说去注意设备的漏洞,因此同一品牌被大量用户所使用,且分散在全国甚至世界各地,这就很容易沦为“肉鸡”去发动大规模的DDoS攻击。与PC机不同,像摄像头这样的物联网设备从始至终很少被去更新漏洞,且很少断开网络连接,因此一旦被当作了“肉鸡”节点,用户很难感知,当攻击者利用蠕虫病毒来攻击某一品牌摄像头产品时,该类型设备很容易被递归感染,攻击者从而可以在短时间内构建起庞大的攻击体系,即僵尸网络。用户可将默认口令修改至较复杂程度,且要有很强的危机意识去防范。

记者:这种基于物联网的DDoS攻击给当前安全形势带来了哪些变化?

金飞: 这种由物联网组成的僵尸网络发起的DDoS攻击相较于对PC机的攻击来说成本更低、流量更大,现在到了数百G甚至T级,这对于任何一个普通的数据中心的带宽来说都是难以应对的。所以F5认为,原有的针对于数据中心侧的防御架构是无法与如此大流量攻击相抗衡的,因此需要在更大的纵深防御角度去考虑。而运营商是一个非常重要的角色,防御边界外延至运营商层面成为一个很好的方式,所以企业防御架构需要与运营商联动。但另一方面加密流量的增多也导致可视化的降低,还应当解决基于SSL协议下的可视化能力,这也带来了传统防御架构的变革。

记者:F5是如何基于应用行为分析理念来应对端到端的应用安全?

金飞: 基于行为的分析需要流量的可视化,首先需要建立行为模型来区分用户行为是否合规,这一方法很早就出现了,但我们强调的是行为分析需要有更加细粒度或更高层次的分析,且一定要与企业业务场景相匹配,主张任何信息安全的对抗或者策略要放到业务逻辑场景中去审视。这种基于业务逻辑下的用户行为分析,比如说某家银行的90%用户是中国本地用户,但如果突然有非常大量的来自国外的IP地址请求访问,则可以认定其不合法。

      传统上往往是将流量分为正常流量和攻击流量,对不同流量有不同的处置方法,但我认为并不全面,更为本质的方法应该是按照流量的属性来判断,即正常流量与异常流量,而不一定以攻击或业务的角度来判断。也就是说可以设定某个阈值,在该阈值之下的不管是正常流量或是异常流量,常规方法就可以应对,而一旦超出阈值,哪怕是正常流量,网络架构也是难以招架。所以我们建议企业做双接入架构。

记者:具体来说是怎样实现的?

金飞:企业做双接入架构意思是原有的架构不变,因为上面承载着很多合规性的东西,而且设备往往老旧,难以承载更多,当在原有架构基础上进行扩充时往往会带来各种各样的问题。那么此时可以搭建一个新的链路,该链路比原有架构承载能力高一个量级,常规流量还使用原有架构,而一旦出现大流量业务或攻击则导向新链路,这样相比原有单一的架构承担所有流量来说,风险会小很多。

      这种双架构体系下,在遭受大流量攻击时,由原有架构切换到新链路,这种切换是很平滑的,业务不会受到影响。毕竟F5做应用交付的高可用性是很擅长的。

记者:在防御DDoS攻击中,运营商扮演着很重要的角色,F5与运营商是如何合作的?

金飞:F5有一个叫做黑洞路由的解决方案,它的理念是通过设备可以将一些从攻击源处的攻击IP直接转给运营商骨干网的清洗设备,从而在远端阻断攻击。在国外我们有清洗架构Silverline云端平台,是基于运营商骨干网的防御体系,可以与本地的防御设备实现策略的互动、流量的自动牵引和回驻。在国内因为某些客观原因没办法很好的使用,但我们也在与运营商做防御架构的联动,比如F5也在与中国电信的云堤合作,为他们提供4至7层的防御能力。

相关评论 [查看所有评论]
发表评论
请自觉遵守互联网相关的政策法规,严禁发布色情、暴力、反动的言论。
评价:
心情:
  • 支持
  • 高兴
  • 枪稿
  • 不解
  • 搞笑
  • 愤怒
  • 谎言
账号: 密码:
验证码 看不清?点击更换
相关阅读