卜娜

長久以來，普遍存在在操作系統(tǒng)和應用程序中的漏洞一直被黑客所利用，以實施網(wǎng)絡攻擊。如今，黑客甚至已將發(fā)現(xiàn)新漏洞并利用其生成攻擊代碼的時間縮短到24小時以內(nèi)，以“零日攻擊”為主導的網(wǎng)絡攻擊愈演愈烈。更可怕的是，利用這種攻擊模式，黑客不僅能繞過傳統(tǒng)的安全防御體系，還構(gòu)建了大量能高效制造廣泛破壞力的惡意網(wǎng)絡。

“零日攻擊”被用來構(gòu)建惡意網(wǎng)絡

近兩年來，“零日攻擊”一直被視為信息安全技術(shù)界的頭號公敵，也是目前最棘手的網(wǎng)安全威脅之一。即使目前具有主動防御功能的安全設備也不可能百分之百地防御“零日攻擊”。這一方面是由于防御技術(shù)還不完善，存在漏報、誤報的可能，另一方面黑客也會在編寫攻擊腳本時通過一些手段逃避安全設備的檢測。因此，“零日攻擊”的成功率幾乎達到100%，而且每次都能造成非常廣泛的影響。

不僅如此，黑客利用“零日漏洞”發(fā)起攻擊的方法也在改變。在黑色產(chǎn)業(yè)鏈的驅(qū)動下，網(wǎng)絡攻擊的目標變成了盜取數(shù)據(jù)，而效率太低且影響力較小的直接攻擊目標的行為，逐漸被黑客拋棄。當前，主流“零日攻擊”的特點表現(xiàn)為：黑客團體先控制住大量存在漏洞的服務器，作為攻擊其他網(wǎng)絡目標的跳板，通過這些受控服務器形成的惡意網(wǎng)絡向真正的目標發(fā)動攻擊，以便盜取更多的數(shù)據(jù)。

Blue Coat剛剛發(fā)布的《2012網(wǎng)絡安全報告》顯示，2011年網(wǎng)絡威脅中最重大的變化是利用惡意網(wǎng)絡頻繁發(fā)動網(wǎng)絡攻擊。這些網(wǎng)絡架構(gòu)更加復雜，影響比任何單個攻擊更持久，并且直接導致惡意網(wǎng)站的數(shù)量大幅增長240%。該報告預測，2012年，有2/3的網(wǎng)絡攻擊將源自惡意網(wǎng)絡。

“負日防御”在行動

被惡意網(wǎng)絡放大的“零日攻擊”不再僅是一種難以應付的攻擊行為，特別是黑客將它與其他網(wǎng)絡攻擊手段組合，造成的威脅甚至已遠遠超過了我們的想象。Blue Coat《2012網(wǎng)絡安全報告》顯示，去年企業(yè)網(wǎng)絡平均每個月會遭遇5000次以上的網(wǎng)絡攻擊，搜索引擎中平均每142個搜索結(jié)果就會有一個惡意鏈接。

借助惡意網(wǎng)絡的攻擊力，用戶“中招”的概率與過去相比大幅增加。但只要安全防御系統(tǒng)還無法識別這些攻擊，安全防范措施就等同于無效，用戶的損失就會出現(xiàn)?？梢姡滦偷摹傲闳展簟睅砹烁y解的攻防課題。對付這樣的網(wǎng)絡威脅，我們是否應該換個防御思路呢？

今年的RSA大會上，Blue Coat提出了一種全新的防御理念——“負日防御”，并引起了不小的轟動。這種防御理念主張在網(wǎng)絡攻擊未發(fā)生之前就開始跟蹤、監(jiān)測準備發(fā)動攻擊的惡意網(wǎng)絡的行為，并了解攻擊發(fā)動的形式，在網(wǎng)絡攻擊發(fā)生的同時對其進行攔截，讓使用這類防御技術(shù)的用戶，不必“先中招，再療傷”。Blue Coat支撐“負日防御”理念的防御系統(tǒng)被稱為WebPulse，它是一個基于云技術(shù)，并且能夠進行實時分析和評級的服務系統(tǒng)。WebPulse的工作原理是，通過布局在全球各地的數(shù)據(jù)中心，每日接收到來自全球7500萬用戶的10億個網(wǎng)頁內(nèi)容請求。通過對海量請求的自動分析，WebPulse能發(fā)現(xiàn)異常流量并將其與已知的惡意網(wǎng)絡聯(lián)系起來，在惡意網(wǎng)絡發(fā)動攻擊前便將其封鎖。透過感知技術(shù)和分析工具，WebPulse目前每天能封鎖大約330萬個威脅。

去年，著名的“調(diào)皮鬼攻擊”真正發(fā)動攻擊的時間是10月6日，為了防止病毒廠商把它攔截住，“調(diào)皮鬼攻擊”持續(xù)10天，并不斷更換攻擊域名和代碼。幾乎所有被動防御機制都失效了，但使用Blue Coat安全網(wǎng)關(guān)的用戶卻毫發(fā)未損。因為“120天之前，Blue Coat就打入到惡意網(wǎng)絡中，我們一直在監(jiān)控它，只是不知道它會攻擊誰。當它正式發(fā)動攻擊時，我們立刻阻斷了攻擊網(wǎng)絡和被攻擊網(wǎng)站之間的連接。利用Webpulse，在‘零日攻擊爆發(fā)前，我們就可以進行防御。”Blue Coat大中國區(qū)產(chǎn)品市場經(jīng)理申強表示，目前黑客為經(jīng)營一個惡意網(wǎng)絡花費的精力遠比攻擊最終目標要大得多，主要因為惡意網(wǎng)絡的攻擊效率高、影響力大、隱蔽性強且可被重復利用。而惡意網(wǎng)絡的建立往往需要黑客團體耗費幾個月甚至幾年時間才能形成，黑客很難輕易將其拋棄。眾多案例已經(jīng)證明，跟蹤、分析惡意網(wǎng)絡對于瓦解“零日攻擊”非常有效。

利用WebPulse系統(tǒng)，Blue Coat的安全實驗室在2011年初首先發(fā)現(xiàn)了惡意網(wǎng)絡，并在全球跟蹤了超過500個主要的惡意網(wǎng)絡，洞悉他們的一舉一動。一旦攻擊發(fā)生，WebPulse系統(tǒng)就會立即通知全球所有的Blue Coat安全網(wǎng)關(guān)，對其進行攔截。不僅如此，借助WebPulse的分析數(shù)據(jù)形成的統(tǒng)一報告，企業(yè)還能提前發(fā)現(xiàn)APT攻擊及受感染的終端用戶系統(tǒng)，降低數(shù)據(jù)泄露的風險。