記者：當(dāng)前物聯(lián)網(wǎng)設(shè)備面臨怎樣的安全威脅？

金飛：現(xiàn)在正處于物聯(lián)網(wǎng)被大量部署的階段，比如家用攝像頭，用戶購(gòu)買時(shí)很少考慮去修改默認(rèn)口令和配置，更不用說去注意設(shè)備的漏洞，因此同一品牌被大量用戶所使用，且分散在全國(guó)甚至世界各地，這就很容易淪為“肉雞”去發(fā)動(dòng)大規(guī)模的DDoS攻擊。與PC機(jī)不同，像攝像頭這樣的物聯(lián)網(wǎng)設(shè)備從始至終很少被更新漏洞，且很少斷開網(wǎng)絡(luò)連接，因此一旦被當(dāng)作“肉雞”節(jié)點(diǎn)，用戶很難感知，當(dāng)攻擊者利用蠕蟲病毒來攻擊某一品牌攝像頭時(shí)，該類型設(shè)備很容易被遞歸感染，攻擊者從而可以在短時(shí)間內(nèi)構(gòu)建起龐大的攻擊體系，即僵尸網(wǎng)絡(luò)。

記者：這種基于物聯(lián)網(wǎng)的DDoS攻擊給當(dāng)前安全形勢(shì)帶來了哪些變化？

F5亞太區(qū)安全解決方案架構(gòu)師 金飛

金飛：這種由物聯(lián)網(wǎng)組成的僵尸網(wǎng)絡(luò)發(fā)起的DDoS攻擊相較于PC機(jī)來說成本更低、流量更大，現(xiàn)在到了數(shù)百G甚至T級(jí)，這對(duì)于任何一個(gè)普通的數(shù)據(jù)中心帶寬來說都是難以應(yīng)對(duì)的。所以F5認(rèn)為，原有的針對(duì)于數(shù)據(jù)中心側(cè)的防御架構(gòu)是無法與如此大流量攻擊相抗衡的，因此需要在更大的縱深防御角度去考慮。而運(yùn)營(yíng)商是一個(gè)非常重要的角色，防御邊界外延至運(yùn)營(yíng)商層面成為一個(gè)很好的方式，所以企業(yè)防御架構(gòu)需要與運(yùn)營(yíng)商聯(lián)動(dòng)。但另一方面加密流量的增多也導(dǎo)致可視化的降低，還應(yīng)當(dāng)解決基于SSL協(xié)議下的可視化能力，這也帶來了傳統(tǒng)防御架構(gòu)的變革。

記者：F5是如何基于應(yīng)用行為分析理念來應(yīng)對(duì)端到端的應(yīng)用安全？

金飛：基于行為的分析需要流量的可視化，首先需要建立行為模型來區(qū)分用戶行為是否合規(guī)，這一方法很早就出現(xiàn)了，但我們強(qiáng)調(diào)的是行為分析需要有更加細(xì)粒度或更高層次的分析，且一定要與企業(yè)業(yè)務(wù)場(chǎng)景相匹配，主張任何信息安全的對(duì)抗或者策略要放到業(yè)務(wù)邏輯場(chǎng)景中去審視。

傳統(tǒng)上往往是將流量分為正常流量和攻擊流量，對(duì)不同流量有不同的處置方法，但我認(rèn)為并不全面，更為本質(zhì)的方法應(yīng)該是按照流量的屬性來判斷，即正常流量與異常流量。也就是說可以設(shè)定某個(gè)閾值，在該閾值之下，不管是正常流量或是異常流量，常規(guī)方法就可以應(yīng)對(duì)，而一旦超出閾值，哪怕是正常流量，網(wǎng)絡(luò)架構(gòu)也是難以招架。所以我們建議企業(yè)做雙接入架構(gòu)。

記者：具體來說是怎樣實(shí)現(xiàn)的？

金飛：雙接入架構(gòu)意思是企業(yè)原有的架構(gòu)不變，因?yàn)樯厦娉休d著很多合規(guī)性的東西，且設(shè)備老舊，如果在原有架構(gòu)上進(jìn)行擴(kuò)充往往會(huì)帶來各種各樣的問題。而此時(shí)可以搭建一個(gè)新的鏈路，該鏈路比原有架構(gòu)承載能力高一個(gè)量級(jí)，常規(guī)流量還使用原有架構(gòu)，而一旦出現(xiàn)大流量業(yè)務(wù)或攻擊則導(dǎo)向新鏈路，這樣相比原有單一的架構(gòu)承擔(dān)所有流量來說，風(fēng)險(xiǎn)會(huì)小很多。

這種雙架構(gòu)體系下，在遭受大流量攻擊時(shí)，由原有架構(gòu)切換到新鏈路，這種切換是很平滑的，業(yè)務(wù)不會(huì)受到影響。畢竟F5做應(yīng)用交付的高可用性是很擅長(zhǎng)的。

記者：在防御DDoS攻擊中，運(yùn)營(yíng)商扮演著很重要的角色，F(xiàn)5與運(yùn)營(yíng)商是如何合作的？

金飛：F5有一個(gè)叫做黑洞路由的解決方案，其理念是通過設(shè)備可將一些從攻擊源處的攻擊IP直接轉(zhuǎn)給運(yùn)營(yíng)商骨干網(wǎng)的清洗設(shè)備，從而在遠(yuǎn)端阻斷攻擊。在國(guó)外F5有清洗架構(gòu)Silverline云端平臺(tái)，是基于運(yùn)營(yíng)商骨干網(wǎng)的防御體系，可與本地的防御設(shè)備實(shí)現(xiàn)策略的互動(dòng)、流量的自動(dòng)牽引和回駐。在國(guó)內(nèi)F5也在與中國(guó)電信的云堤合作，為其提供4至7層的防御能力。