以威胁情报为中心 云清联盟开启协同抗D

    【IT168 评论】近日,云清联盟正式发布了全网协同防护方案发布会,华为、中国电信云堤、青松云安全作为组织发起者,针对以 DDoS(Distributed Denial of Service的缩写,即分布式拒绝服务)为代表的网络攻击,共同探索协同防御的新思路,谋划以分布式协同抵抗DDoS攻击的新格局,共同抵御攻击,守护互联网安全。

  DDoS攻击 需要全网防御力量的协同制衡

  随着互联网、IoT技术的飞速发展,黑客攻击手段的不断变化,DDoS作为分布式攻击也正在呈现规模变大、攻击频率高的趋势,针对这种分布式攻击,只有协同防御才是最有效的防御手段。

  根据《云清联盟2016年安全报告》数据显示,DDoS攻击趋势呈现四个方面发展趋势,第一个,物联网全球性的发展,设备基数大、应用范围广,并存在大量安全问题,正成为新的重要DDoS攻击源;

  第二,基础设施和云服务商、IDC成为目前主要攻击源,一方面是自身的漏洞、管理的缺乏被黑客利用,使网络服务商的基础设施成为大量反射式DDoS攻击源,另一方面,缺乏安全防御措施,再加上黑客的隐蔽性强,使的大量云服务商和IDC被黑客控制用于发起攻击;

  第三,黑客手段多样化,流程化,混合攻击难以检测防御,黑客通过恶意代码传播、扫描企业网站扫描、探测等多种组合的流程化攻击,控制大量僵尸网络,此外攻击方式向两极化发展,慢速攻击、混合攻击占比不断增大,使检测防御的难度增加;

  第四,攻击规模及频率快速增长,新开放协议漏洞不断爆出,反射攻击可引发更高攻击,最高峰值达到了1.5T,攻击启动基数被提升,100G攻击成为常态次数增长100%,测试性及无目的的攻击增多,日均攻击次数增长超110%.

以威胁情报为中心 云清联盟开启协同抗D
▲云清联盟执行主席、华为安全开发部部长刘立柱

  云清联盟执行主席、华为安全开发部部长刘立柱还指出,目前,DDoS防护产业的现状和存在问题,第一,大流量攻击可以使用云清洗中心来缓解,本地清洗设备是处理慢速应用层攻击的关键,但本地清洗设备云清洗中心各自为战,无法联动;第二,缺少情报合作与协同防护机制,DDoS威胁情报数据无法共享,厂商各自为战;云服务商、IDC常常沦为黑客的工具,或被上游运营商强行黑洞,或丧失声誉带来商业损失;第三,抗DDoS行业缺少交流和分享,缺少DDos防护的产品合作平台,缺少DDoS防护的最佳实践和成果的分享。

  云清联盟的运转机制和成绩

以威胁情报为中心 云清联盟开启协同抗D
▲中国电信云堤 CEO刘紫千

  刘紫千强调道,云清联盟的运转机制,是先先尽义务,也就是个人自扫门前雪,自身能够抵御DDoS攻击,同时不被黑客利用对外攻击,此外要贡献情报数据和累计credit,然后享受权利,可以要求主要的成员的防护,使用威胁情报库和消耗credit,也会定期审核成员credit和资格,云清联盟不是一个商业联盟,而是一个情报共享,协作抗D的产业联盟!

  云清联盟要改变现状,首先,制定云清洗接口标准,云清联盟在2017年2月份发布《云清联盟接口标准规范》,实现云清洗中心和本地清洗设备联动,制定DDoS云清洗系统的信令协议标准,建立安全运营平台平台,面对攻击多元化,防御要分层次;其次,构建全网协同防护方案,刘立柱表示,通过建设全球威胁情报中心(GTIC),实现全网攻击数据收集、分析和会员间威胁情报分享,以GTIC为核心构建全网协同防护方案,实现会员间的协同防护;最后促进学术研讨和成果分享。

  截止目前,云清联盟拥有会员达到了30家,包括了华为、中国电信云堤、青松云安全、互联港湾、金山云、乐视云、云端网络、新浪云等行业知名企业,未来云清联盟也希望越更多新成员加入,这样能够获取的成果越多,同时秉承数量和质量并重。

  解读全网协同防护网络架构

  协同防护方案是以云清联盟威胁情报中心(GTIC)为核心,通过对会员共享的威胁数据进行大数据分析,从而获得全网实时威胁情报并提供给会员;联盟将通过电信云堤的云端清洗和压制分化外部大流量DDoS攻击,结合华为等设备厂商的Anti-DDoS的本地防护体系、青松云安全的“云松”MSS一站式安全业务托管平台实现本地防护、以及IDC和云服务会员对其内部外发攻击DDoS流量的拦截和治理,构建出一个产业级、全员参与、全方位的协同防护方案。

以威胁情报为中心 云清联盟开启协同抗D
全网协同防护网络架构

  全网协同防护方案,关键在于“协同”,协同已有的防护能力、设备能力、云端清洗的压制能力,以及在本地防护上精细化检测能力整合在一起,通过威胁情报中心将其脉络全部打通。通过对会员共享的威胁数据进行大数据分析,从而获得全网实时威胁情报并提供给会员;联盟将通过电信云堤的云端清洗和压制分化外部大流量DDoS攻击,结合华为等设备厂商的Anti-DDoS的本地防护体系、青松云安全的“云松”MSS一站式安全业务托管平台实现本地防护、以及IDC和云服务会员对其内部外发攻击DDoS流量的拦截和治理,构建出一个产业级、全员参与、全方位的协同防护方案。

  云清联盟DDoS威胁情报平台的协同场景,联盟成员共享情报给云清联盟,联盟成员可从情报中心获得关键情报数据,当遇到大型攻击时,可调用云堤压制并请求其他成员共同防御,联盟成员响应联盟攻击防御协同任务,情报平台对接方案,云清联盟已经实现了相关API成员可通过restful接口对接,将攻击数据推送至情报中心。

以威胁情报为中心 云清联盟开启协同抗D
▲青松云安全 CEO 孙大伟

  青松云安全 CEO 孙大伟也表示,为支持联盟的健康发展,需要联盟成员遵循,联盟协作义务,云松MSS平台向联盟成员开放部署,MSS平台的部署将在云清联盟备案,由电信云堤建设的威胁情报平台,按年度向联盟发布,各成员的贡献值,对于不满足贡献的合作,联盟决策将会停止MSS平台的对接服务。

  未来情报中心可对联盟成员提供的价值,不仅可以获知超过边缘带宽的攻击规模测度,弥补部分检测能力未覆盖的范围,而且还能增强对攻击来源的准确溯源能力,获知联盟成员内部被感染的肉鸡,获取多种类型信誉库作为防护策略的重要输入。

  总结:抗D的众多方案中,不仅有传统的本地防御,还有以阿里、腾讯的分流方式,但随着DDoS攻击不断升级,抗D逐渐走向分布式联合抗D趋势,云清联盟以威胁情报为中心(GTIC),与所有成员实现信息共享、协作共享的全网防护,可以说成为了抗D大军中的一股清流!

发表评论

相关文章