本文轉自【TechWeb】;
“流量是一個看不見的東西,又無處不在。”如果將安全攻防對抗比作一場戰鬥,流量就是一個出色的“情報員”,掌控着敵方各種入侵動作及意圖,並以最快的速度同步“指揮官”,協助指揮官做出正確戰略決策,奪取勝利。
8月20日,XCon2020安全焦點信息安全技術峯會在北京舉行。會上,騰訊雲DDoS防護團隊分享了將流量分析應用於攻防對抗的騰訊內部實戰案例,並介紹了騰訊內部工程化的縱深防禦體系。
通過挖掘流量的安全能力,將各個安全系統有效串聯,構建多層防線的縱深防禦體系,騰訊雲搭建了面向未來的安全防禦“堡壘”,形成“團戰”的力量。
安全攻防進入深水區,縱深防禦是基礎
隨着5G時代的到來,網絡環境正在經歷鉅變,企業也在面向數字化雲化轉型。與之相對,黑客攻擊手法也在不斷演進:模擬真人、多源低頻、APT等各類攻擊手段層出不窮,企業安全建設面臨新的挑戰。
傳統企業的安全體系建設,往往通過疊加多種基礎安全產品進行防護,如網絡層防DDoS攻擊、主機層防入侵、應用層防漏洞等。想象中的情況是各個版塊各展所長,然而實際情況往往卻是各層系統信息不互通、碎片化、各自為戰,不可避免造成“安全盲區”的存在。
在嚴峻的安全攻防形勢下,企業必須要將各個安全系統有效串聯,形成牽一髮而動全身的防護效果——這就是多層防線的縱深防禦體系。
騰訊安全工程師鄧之珺、彭晨晨介紹到,目前,騰訊已建立起整體化的多層智能縱深防禦體系,涵蓋DDoS防護、DNS劫持等網絡安全,web風險監控、注入檢測、代碼審計等應用安全,木馬通訊檢測、基線監控等主機安全,合規監控、全程票據等數據安全,通過流量分析進行有效串聯,並具備多層佈防能力。
1+1>2,流量分析是關鍵
多層防線的縱深防禦體系有效解決了各系統割裂的問題,形成“1+1>2”的效果。這其中,流量作為一個“紐帶”,扮演了重要的角色。
今年上半年,騰訊處理了一次攻擊流量峯值高達260W qps的HTTPS CC攻擊,通過流量分析,實現了秒級響應,調用防護設備進行流量清洗,成功保障了平台穩定。事後,通過流量分析進行溯源取證,並作為威脅情報返回給縱深防禦體系中的其他環節,達成安全聯防。
除此之外,騰訊在高危服務開放、管理後台識別等漏洞收斂領域,探測掃描、爆破嘗試、木馬通訊等入侵檢測領域也有相關佈局。
騰訊雲DDoS防護團隊發現,流量分析對於及時感知新型攻擊也具有獨有的優勢,比如團隊曾在某個CVE公開一個小時內就成功捕獲了針對該漏洞的少量攻擊。同時流量本身作為蜜罐(一種對攻擊方進行欺騙的技術),在流量中構建一系列通用捕獲模型,也可發現未知攻擊和隱蔽攻擊,例如針對0 day和APT的挖掘。
可以説,流量分析的有效應用,已成為企業安全攻防對抗的下一個路口。“流量+”的應用落地將大大提升企業的安全能力。
流量分析+AI,從“被動應對”到“主動進化”
安全建設是一場永無止境的攻防戰,攻擊手法和防禦手段此消彼長、交替升級。面對更為複雜多變的攻擊手法,騰訊不斷挖掘流量分析的更多應用場景,結合大數據、AI 等技術,對不同安全場景進行精細化分析。
例如,在攻防研究中,騰訊將AI技術與流量分析結合,用於Web管理後台的識別,一定程度上改善了傳統掃描器方案誤報和漏報等問題,提升了靈活性和判斷能力。同時,騰訊也在探索AI與入侵檢測、漏洞收斂等技術的結合。
面對攻防對抗中“降本增效”的要求,騰訊雲DDoS防護團隊通過AI算法學習經驗數據,形成具備自學習、自進化、自適應特性的流量模型,將‘被動應對’發展成為‘主動進化’,進一步增強了攻防能力。