互聯(lián)網(wǎng)為人們創(chuàng)造了一個獨(dú)特的網(wǎng)絡(luò)社會環(huán)境，它的出現(xiàn)可謂是人類歷史上劃時代的變革。今天，互聯(lián)網(wǎng)已經(jīng)滲透到我們生活中的各個方面，甚至已經(jīng)開始改變現(xiàn)代戰(zhàn)爭的格局。隨著網(wǎng)絡(luò)技術(shù)的不斷發(fā)展，網(wǎng)絡(luò)攻擊的日趨多樣性和復(fù)雜性使得虛擬化網(wǎng)絡(luò)戰(zhàn)爭所帶來的影響足以給任何組織機(jī)構(gòu)帶來毀滅性的打擊。

　　當(dāng)政府或企業(yè)發(fā)布的政策傷害到少數(shù)人的利益，或者被這些人認(rèn)為對公眾不利時，他們就會通過某些黑客組織發(fā)動有針對性的網(wǎng)絡(luò)攻擊。 “匿名者”(Anonymous)就常常聲稱自己的攻擊行為是代表公眾進(jìn)行的抗議。該組織不但鼓動人們以匿名的身份發(fā)泄憤怒，還要求人們下載安裝某些黑客工具并積極參與到攻擊行為當(dāng)中去，由此造成攻擊流量在特定時間集中涌向目標(biāo)，就可輕而易舉的讓其陷入癱瘓。

　　為了讓更多人輕松加入到攻擊的行列中來，充分發(fā)揮公眾的力量，黑客組織還逐步降低了黑客工具的使用門檻。在2010年底“匿名者”針對金融機(jī)構(gòu)的“報復(fù)行動”中，他們就為其“低軌道離子炮”(LOIC)攻擊工具先后發(fā)布了桌面安裝版、手機(jī)App版以及純Web版。(見圖1)

　　(圖一：各種黑客工具的使用門檻越來越低)

　　Radware的安全專家還發(fā)現(xiàn)了一種新的邏輯攻擊類型，使用傳統(tǒng)的防火墻、IPS等安全設(shè)備很難將其阻止。例如，黑客們借助一種稱為RUDY(R U Dead Yet)的工具進(jìn)行低流量的慢速攻擊，它可以保持連接卻不允許服務(wù)器將其關(guān)閉，從而很快耗盡設(shè)備的連接會話表，直至讓業(yè)務(wù)徹底癱瘓。

　　同時，黑客們更加精心的策劃與執(zhí)行他們的攻擊行動。攻擊者可能會花上幾個月的時間跟蹤目標(biāo)公司的某個員工，乘其不備利用僵尸程序(bot)感染設(shè)備，再通過VPN連接里外勾結(jié)發(fā)起聯(lián)合攻擊。這種內(nèi)外同時發(fā)動的攻擊造成的危害更大，防御措施脆弱的的內(nèi)部服務(wù)器在很短的時間內(nèi)就會被攻占，給整個公司的網(wǎng)絡(luò)帶來災(zāi)難性的后果。

　　統(tǒng)計結(jié)果表明，七成以上的APT攻擊可包含多達(dá)5種不同類型的攻擊向量，它們以巨大的DDoS流量做為掩護(hù)，并可以根據(jù)攻擊目標(biāo)的防御行為不斷進(jìn)行調(diào)整，給網(wǎng)絡(luò)安全人員帶來長達(dá)數(shù)周的噩夢，如果沒有網(wǎng)絡(luò)攻擊緩解專家團(tuán)隊的協(xié)助，這些公司和組織在面對攻擊時都將焦頭爛額、束手無策，眼睜睜看著整個防御體系土崩瓦解。

　　因此，面對持續(xù)演變的APT攻擊，傳統(tǒng)的單點(diǎn)防御解決方案將形同虛設(shè)，而簡單的技術(shù)堆砌及事后修補(bǔ)也將力不從心。所以，各組織機(jī)構(gòu)應(yīng)當(dāng)根據(jù)自身網(wǎng)絡(luò)流量的行為特點(diǎn)，采用下一代技術(shù)構(gòu)建防御體系，同時還需要組建一支具有抵御網(wǎng)絡(luò)攻擊經(jīng)驗的應(yīng)急支持團(tuán)隊。對此，Radware的建議如下：

　　1、 網(wǎng)絡(luò)行為分析(NBA)技術(shù)成為關(guān)鍵，該智能化的技術(shù)可以了解到設(shè)備所處的網(wǎng)絡(luò)環(huán)境，在網(wǎng)絡(luò)行為出現(xiàn)變化時能夠建立實時的攻擊攔截特征碼。并可通過與速率參數(shù)的配合檢測，區(qū)分正常的業(yè)務(wù)流量與非法的攻擊流量，在業(yè)務(wù)高峰時不會對正常流量產(chǎn)生誤判。

　　2、 網(wǎng)絡(luò)安全要通過特征碼對舊的攻擊進(jìn)行防護(hù)，就必須在同一款設(shè)備中配備IPS模塊，以實現(xiàn)基于NBA的攻擊防護(hù)。

　　3、 網(wǎng)絡(luò)基礎(chǔ)架構(gòu)必須部署DDoS防護(hù)層，來阻擋大規(guī)模的攻擊流量及夾雜在其中的慢速攻擊等，這類防護(hù)設(shè)備應(yīng)當(dāng)配備專用的引擎來處理攻擊流量，以避免自身成為瓶頸。

　　4、 IP信譽(yù)引擎也必不可少，它可以防御網(wǎng)絡(luò)釣魚式攻擊，讓組織機(jī)構(gòu)可以避免網(wǎng)絡(luò)欺詐行為的威脅，防止信息泄露。

　　5、 在盡可能接近服務(wù)器的位置，還需要加設(shè)Web防火墻，以應(yīng)對SQL注入等針對網(wǎng)絡(luò)第7層的攻擊，該層防護(hù)最好是運(yùn)行在虛擬服務(wù)器上。

　　6、 網(wǎng)絡(luò)中還必須有一整套的報告系統(tǒng)，對設(shè)備的詳細(xì)信息提供實時的反饋，方便在遭受到APT帶來的多重向量攻擊時向網(wǎng)絡(luò)安全防護(hù)團(tuán)隊發(fā)出警報。

　　7、 企業(yè)還需要應(yīng)急響應(yīng)團(tuán)隊的支持，該團(tuán)隊?wèi)?yīng)當(dāng)具備處理網(wǎng)絡(luò)攻擊的專長和戰(zhàn)勝黑客攻擊的成功經(jīng)驗。

　　Radware DefensePro系列產(chǎn)品將企業(yè)針對上述的前4點(diǎn)需求整合到同一個硬件設(shè)備中，可切實地為整個網(wǎng)絡(luò)提供強(qiáng)大的保護(hù)。當(dāng)它被透明的串接網(wǎng)絡(luò)前端時，攻擊者甚至無法探測到他的存在。(見圖2)

　　(圖2：Radware DefensePro產(chǎn)品為廣大企業(yè)提供all in one的強(qiáng)大防御能力)

　　當(dāng)這些控制功能被正確部署后，整個防御框架可防范網(wǎng)絡(luò)攻擊造成的主要安全風(fēng)險，再配合上應(yīng)急響應(yīng)團(tuán)隊的支持，才能有效應(yīng)對日益復(fù)雜的APT攻擊。Radware的安全專家呼吁各機(jī)構(gòu)盡快建立這些保護(hù)措施，以保證自身的安全。