最近几天关于WannaCry的分析已经连篇累牍、数不胜数,很久没有发生影响如此之大的安全事件,这无疑是一次对大众的很好的安全教育。对广大的Ops团队来说也是一次不错的拉练。 WannaCry与比特币WannaCry勒索程序是一个蠕虫病毒,只攻击Windows操作系统(受影响的漏洞微软在2017年3月14日发布的补丁中已经修复,但大量客户并没有及时更新)。攻击时间始于2017年5月12日,最早发现与西班牙、英国等数十个国家,随后几天世界各地均受到不同程度的影响,攻击者使用28种语言向受害者勒索比特币。由于影响巨大,微软不得不为早已停止支持的Windows XP和Windows Server 2003紧急提供了安全补丁。 和其他的勒索软件一样,WannaCry最早的攻击形式是钓鱼邮件,但同时也利用NSA开发的网络战工具EternalBlue exploit和DoublePulsar后门实施攻击。安全研究人员还发现,在WannaCry之前两周就有挖掘Monero数字货币的僵尸网络使用了相同的NSA网络战工具实施过攻击。许多机构认为此次攻击和NSA有关。Google、赛门铁克和卡巴斯基的安全研究人员在最新的报告中称,WannaCry可能与朝鲜黑客组织Lazarus Group有关。 随着比特币的兴起,勒索软件得以快速发展。比特币可以说是犯罪份子的最爱,《三联生活周刊》的王海燕写了一篇《黑客为什么选择比特币?》详细解读了这一现象。感兴趣的读者可以自行查阅。 当然这个不是今天讨论的重点。今天想要讨论的是如何利用SDN保护网络资源防御攻击。 用SDN的方法抵御WannaCry攻击WanaCry通过SMB Service的OOB攻击,上传恶意软件复制自身,加密宿主机上的文件从而勒索用户。一般在安全领域的做法有以下几个方法:
可见以上每一种方案都需要很多人力物力去实施,假设你有成百上千台机器或机器还在移动如笔记本电脑,这个工作量和难度就比较大了。而SDN的环境中解决这个问题可以用一个大杀器:流表下发。 流表下发与清洗通过下发流表到所有的节点,把所有445端口的流量暂时引导到一个清洗中心,在清洗中心进行过滤。如果发现攻击特征则可以下发流表阻隔该VM/HOST的445端口或者隔离整个VM。清洗之后的流量再引导回原节点。 由于SDN控制器知道每一个节点的OS,甚至可以更加智能的有选择的只把有潜在威胁的445端口的流量引导到清洗中心(Windows 10之前的OS)。这样对于客户来讲一切照旧,不需要紧急断网,不需要停顿业务,也不需要独立购买昂贵的服务(但依然需要有服务商)。 SDN服务商可以通过简单的流表配置和下发迅速的把所有流量转移,达到清洗流量,隔离感染源头,维护原有业务,同时对于客户来讲一切都是透明的:business as usual. 不可否认,防火墙依然是网络安全的核心部件。但是对于突发事件如WanaCry这样的病毒,SDN的方法迅速、高效、简单透明,有着很大的优势。也许今后的安全需要两者进一步的融合。 SDN不光可以Define network,还可以Defend network。 |
|