内容出海如何保障网络安全?

2020-05-22 17:11:49来源:亚太CDN产业联盟 热度:
4月22日,最高检公布国内首例全链条打击黑客跨境网络攻击案。暗夜攻击组全案11名被告人在DDOS攻击链条中起到不同作用。报价是1个IP打10分钟,大概30分钟就能打瘫痪,价格1000元。
 
“众视LIVE VideoX学院”特邀蓝汛产品总监 王立欧、深圳智安网络 网络安全专家 郭海骏、知道创宇解决方案专家 裴文成、Cloudflare 高级工程师 张彧杰共同探讨内容出海+网络安全企业流量研究。
 
Cloudflare 高级工程师 张彧杰:Cloudflare愿景的是保证整个互联网的可靠安全和快速。
 
深圳智安网络 网络安全专家 郭海骏:智安网络是2018年成立的创新型公司,核心产品线:IDC、云安全、云计算,基本围绕出海和回国企业展开业务。
 
IDC资源以香港为据点,在新加坡、日本、韩国美国有自建资源,以保障提供更好的服务。
 
云计算方面有DDOS和WAF服务,核心团队来自网宿和腾讯。资深团队深耕多年积累了许多客户需求,客户的源站放在主流公有云上会担心数据安全问题,很大一部分存量客户会选择托管IDC做源站。基于此,深圳智安发展了定制化云计算产品保护源站安全。
 
知道创宇解决方案专家 裴文成:知道创宇目前服务于国内外100多万企业,行业涉及政府部门、军工、央企、电商、房企等各行各业。
 
谈到内容出海,知道创宇的海外业务也很多,例如去年大力发展的区块链行业,国外的大型交易所都有涉及。
 
知道创宇的机房遍布美国、日本、韩国、香港、台湾、新加坡等各个国家与城市。知道创宇的WAF、安全服务、安全设备、产品等在国内处于领先水平。
 
蓝汛产品总监 王立欧:自1998开展CDN服务以来,蓝汛已经有二十多年的行业历史,蓝汛的内容出海业务形成了国内到海外的链路中欧专线、中港专线、中美专线,以及覆盖海外的节点。
 
从出海业务的安全上提供几方面策略:
1、传输安全—链路加密及专线保证公网安全;
2、内容安全—不同节点间对同样内容采用验证方式保证内容一致性;
3、源站安全—为源站提供多项备份以及容灾解决方案;
4、抗DDOS攻击—用流量异常模式套在正常工作模式差异上,通过比较发现流量是否来源于可疑地址段,对不同地址段想成不同行为模式偏移的容忍度。
 
蓝汛很早就开展了国内企业出海业务,也有许多解决方案。现在内容出海的方式多种多样,例如驻外新闻社要求国内发稿平台能够访问到海外的发稿平台来实现,政府部门也有让国外了解中国声音的需求,要保证国外网站的可达性。
Q1:内容出海技术上有哪些模式?你们关注这些行业和企业哪些部分?哪些行业和企业特别关注内容出海?
 
Cloudflare 高级工程师 张彧杰
 
疫情期间全球在家办公,欧洲美洲的互联网激增20%-30%,对于视频、直播、游戏企业来说是一个特别好的契机。特别是游戏行业必须要考虑DDOS攻击,以保证游戏正常上线。
 
知道创宇解决方案专家 裴文成
 
从政府角度:疫情期间有一些政府企业遭到了国外攻击,造成了网页被篡改。
 
从企业角度:最近有许多企业推出了网络攻击方面的报告,反映出目前行业的安全状况,互联网企业都会考虑到安全问题,行业增长趋势明显。
 
在线教育行业最近海外的流量增长了很多,这是疫情导致的必然结果,新东方、学而思等都使用了知道创宇的产品进行安全防护,但国内仍是他们的主战场,全球性业务占比小。
 
深圳智安网络 网络安全专家 郭海骏
 
智安网络看来,疫情期间有四个行业比较突出:手游、新金融、跨境电商以及跨境企业。他们的共同特点是:1、数据比较宝贵容易招来攻击;2、容易受到同行的恶意竞争攻击;3、内部的组织架构相对简单,开发团队不完善自身容易造成安全漏洞。
 
目前DDOS部分全球趋势是峰值越来越高,从攻击流量数据来看前两年国内比较高,这两年国外比较高,由此可见,我国的网络环境在进化,政府、工信部和运营商在努力,很多攻击团队被捣毁。
 
加速网络部分,IOT、摄像头、路由器、家庭IP等攻击数量也在增多。大流量来自公有云IDC流量,据他分析可能是大部分攻击者在攻击链条上的供应商,攻击者直接采购了公有云的资源,直接使用公有云IP进行攻击。
 
蓝汛产品总监 王立欧
 
公有云IDC的流量增多可能是攻击者利用自身公有云和IDC能力进行反射攻击?
 
深圳智安网络 网络安全专家 郭海骏
 
反射攻击虽然流量比较大,但比较好封。我们发现公有云部分更多是利用真实IP进行洪水攻击。
 
蓝汛产品总监 王立欧
 
在蓝汛服务的过程中,发现海外许多与CDN有关的攻击是通过访问动态内容或不存在源站进行的,这会导致CDN从业务逻辑上失去过滤作用,攻击内容回传到源站,导致源站扛不住攻击崩溃。
 
这种访问方式大多是间接访问,从访问来源和模式判断他是否来源于一个可疑的IP地址段。这涉及到一些问题,随着DDOS的发展,攻击者变成了一种多项量的方式,攻击的IP也趋于规范化。攻击者全球都有,但多数集中在IPV4里,IPV6的资源目前比较少,原来的传统的通过IP地址判断来源方式失效,更多的是要靠流量访问模式来进行防御。但DDOS目前的攻击变化也提高了防御难度。
 
国际有些企业的内容在某些地区的访问量很小,突然增多访问量时比较麻烦。传统方法是人工判断,现在是自动判断,自动判断很难发现异常模式,造成很多误判,也造成了防御难度增加。
 
Cloudflare 高级工程师 张彧杰:攻击更加隐蔽,所以防御升级,需要人为管控。
 
Q2目前公有云服务器成为漏机的趋势在增长,如何增强这方面的防御能力?
 
Cloudflare 高级工程师 张彧杰
 
平时做测试的时候会用到公有云的资源,如果发现很多攻击是来自于公有云提供商时,建议部署内容出海策略时根据公有云的NSN做策略性防护。
 
从公有云发出的请求很少有正常人为请求,建议部署服务的时候可以基于客户端的NSN号做防护,避免公有云BOSS网络的安全隐患。
 
深圳智安网络 网络安全专家 郭海骏
 
公有云除了云主机、云安全还有其他服务,客户只会将基础服务放在上面,其他服务就不会放在公有云附带服务上。
 
部署云业务时,可能会继续使用2号端口、或做一些没有安全加入的操作,会导致云主机本身存在漏洞,增加暴露面。建议源站IP归属的机器时一定要做一些访问限制,中间安全层。
 
安全组件本身在运行过程中有一些固有的零件漏洞,要定期进行升级。
 
蓝汛产品总监 王立欧
 
公有云或IDC的源站变成肉机会很快耗尽流量,流量账单会暴涨,公有云厂商也会设置提醒,肉机的所有者很快会觉察到。
 
很多人看到的攻击来自IDC或公有云,但其实他的源IP可能是被篡改过的。
 
深圳智安网络 网络安全专家 郭海骏
 
王总提到公有云自己的服务器出了问题自己能马上发现,但是问题在于公有云的云主机配置上有缺陷,黑客推进到服务器会攻击到源站数据库,他发现你的云主机没有什么数据价值,他会把他变成木马或肉机做一些DDOS攻击。
 
攻击的IP也不一定都是伪造的IP。伪造的IP只能发流量攻击,真正厉害的攻击都是真实攻击完成的,是目前比较主流的攻击,比较麻烦。
 
网站经常受到干扰的原因在于,没有用CDN或WAF就会直接暴露。如果使用了CDN或WAF,攻击会绕过源站进行干扰。建议加入源站对源站业务定期扫描以防止漏洞。源站架构要进行优化,带宽不足及性能瓶颈要加负载运行层,上层WAF则要使用专业供应商解决问题。
 
不论再强的抗攻击系统,本身的算法和规则只能起到一部分作用,更专业的功能要靠定制化安全服务。
 
Cloudflare 高级工程师 张彧杰
 
客户端是不是肉机?硬件在上线的时候有可能会被扫描,很多网络上的肉机无论是在公有云、IDC上,都有这方面的困扰,扫描出漏洞后控制机器成为肉机,分布式攻击都是通过操控有漏洞的肉机来做的。
 
源站是怎么做防护?所有源站收到的请求都是受到CDN保护的,我们要采取一些策略,例如所有流量都过了CDN WAF或DDOS防护等,通过这些方式对源站进行保护。
 
Q3:100G级最大攻击带宽成本是多少,防护成本是多少?
 
知道创宇解决方案专家 裴文成
 
前段时间我访问了一下暗网看到目前DDOS攻击价格表,几天峰值20G流量价格是300,但是20G流量防护成本以年为单位是在10万左右。
 
Q4:网络安全有哪些细分市场?
 
知道创宇解决方案专家 裴文成
 
目前国内的安全厂商有几千家,针对于安全行业有很多细分行业,比如物理安全、网络安全、主机安全、应用安全、数据安全、移动安全、虚拟化安全、云安全、大数据安全、公共安全等。
 
蓝汛产品总监 王立欧
 
国内安全创业有很多方向,比如有特殊需求的加密算法等,供有潜力的公司参考。
 
Q5:最新网络安全案例分享,让大家更加重视!
 
知道创宇解决方案专家 裴文成
 
CC攻击最明显的特征是模拟正常用户请求进入源站,第二次访问才能显示出来。
 
分享一个国内客户的案例,这个黑客团队暴露原因是他们做代理IP的时候不小心使用了自己的IP。我们连续查了半个月才发现他们,通过一些监控手段发现他们的所作所为,得到了他们的信息,最后报警抓到了他们,通过溯源手段帮助政府解决了一些安全问题。
 
深圳智安网络 网络安全专家 郭海骏
 
分享一个游戏客户的案例,他的游戏业务国内外都有,最近遇到比较大的攻击是CC型攻击,在美国、日本和台湾三个地方肉机特别多,达到50万,明显特点是每个肉机发起的连接和请求都比较小,不会触发预先设置的规则,后来我们通过大数据平台和溯源工作实现了肉机采集和清理,恢复了业务,预告这种趋势会越来越大,我们最近也在研发一种新的安全手段,在客户终端集成安全SDK等来完美的防御攻击。
 
蓝汛产品总监 王立欧
 
开发安全产品的过程中的确发现了一些防控功能被高手绕过。攻击者在攻击过程中也在不断调整自己的策略和工具,但实际操作过程中我们发现白名单的方式确实比较有效,但弊端是可能会筛掉一些真实用户。
 
我们统计到90%的攻击者都是初级的,用反爬虫的方式可以过滤掉,但10%的高级攻击者,用白名单方式也可以过滤掉。

责任编辑:倪迎春