目前P2P協作分析法還是一種較為前衛的企業協同防護策略,與傳統孤立的檢測和減輕網絡威脅的方法相比,即使面對大流量的訪問情況,也能夠快速交換信息和分析流量異常,並通過網絡信息共享與分析來加強IT基礎架構的防護能力。
如果打個比方一位幼兒園老師給一名感冒的小朋友做了標記後,其他老師也快速掌握此種情況,進而採取相應的防傳染措施,避免其傳染給幼兒園其他小朋友一樣,這個道理就是P2P協作分析應對攻擊擴散的簡版。
傳統分析導致延遲窘境
要想了解P2P協作分析方法,首先要清楚網絡安全分析的常規模式。一般來說,由於網絡安全分析經常需要對異常流量進行大規模的人工檢查和威脅分析,導致大多數企業會使用自定義軟件或現成軟件的自定義變體來查找安全威脅,所以必須手動將觀察結果與其他企業的報告進行比較。
不過這樣的結果會致使大量網絡延遲出現,因為不同企業的成員還需要在電子郵件收發、閱讀、確認等各流程上耗費寶貴的防禦響應時間。而類似這樣的傳統網絡流量分析速度緩慢,也導致企業在防範現代攻擊向量方面一直處於防禦狀態:比如面臨新一代殭屍網絡和DDoS工具,企業網絡中增加的不可靠個人設備,以及弱安全的物聯網設備等等。
何為P2P協作分析法
因此,企業急需能夠自動分析的流量模式與相關技術,來應對上述情況以快速響應。這時一種使用協作的P2P基礎架構來自動檢測流量異常並使該信息能夠被共享的新興方法,開始進入企業安全決策者的眼中,而這個方法就是P2P協作分析法。
P2P協作分析方法就是由一個管理員對數據流量摘要和可疑流量進行標記後,與P2P網絡架構裡的其他企業站點管理員所標記的流量進行比較分析,來判別攻擊威脅的一種方法。這樣的好處是,一旦發現所比較的已標記流量之間存在任何相似性,就可快速確定是否是真正的攻擊行為,還是來自欺騙地址的流量。
雖然現在有的自動流量分析工具可以幫助解決分析問題,但是通過使用P2P機制對干擾不需要集中管理。企業可以根據自己的需要進行自主調整,並在感到恰當的時間來分享信息。測試表明,在部署P2P協作分析法後,結果是減少了攻擊檢測時間,降低了管理員的識別工作量,最主要的是有效地緩解網絡威脅。
由孤立變為協同
網絡安全分析從來不是孤立的,但現實中眾多企業安全決策者往往由於擔心共享敏感信息外洩,加之安全人員不足,缺乏安全培訓或缺乏相應工具,導致不少安全分析處於獨立與割裂狀態,與其他同行企業展開流量分析合作的則更是少之又少。然而現在出現的一種基於P2P(點對點)協作的安全分析方法,卻成為了應對未來網絡攻擊威脅的有效手段之一。
隨著使用P2P協作分析方法所做的相關流量標識的積累,還可以與P2P網絡共享後打造出可協同共享的標識庫,來幫助企業網絡管理員加速響應異常威脅。
減少攻擊傷害
由於孤立的網絡防禦系統已被證明效力相當有限,比如面對勒索軟件不堪一擊就是一個很好的例子。而在部署了P2P協作分析法後,如果勒索軟件發生在一個站點後,可以與其他站點共享有關導致感染網絡流量的信息,相關流量信息(包括勒索軟件)都可自動傳遞到不同的醫院站點上。如果其他站點早一步在自己流量中識別出了這種標識,甚至可以在勒索軟件產生影響之前檢測並阻止它們。
可以說,儘早發現這些攻擊將是減少攻擊傷害的關鍵。因此攻擊開始和攻擊緩解之間的延遲對於許多類型的攻擊是至關重要的。又例如DDoS攻擊,其中額外的時間向攻擊者提供正反饋後,攻擊者將繼續在目標網絡上發送越來越多的流量。而P2P協作分析法則是多個防禦者間協調他們的響應,利於早檢測早緩解,減少攻擊損失。
識別孤立分析看不到的攻擊
除了上述優勢外,P2P協作分析法的優勢還在於可展示單獨站點防護時所看不到的“全景分析”。比如,其中的跨網絡攻擊模型,就可以提供關於攻擊者的目標,攻擊動機以及預測未來行為等信息。而在互聯網多個位置上部署的流量傳感器則可以揭發欺騙性流量攻擊,從而提供更有針對性的安全防禦機制來打敗攻擊者。
此外,使用P2P協作分析法的協作網絡系統還可以在核心ISP和網絡骨幹提供商的基礎設施層以及網絡邊緣上發揮作用,方便運營商瞭解整個用戶群的狀態。例如,邊緣ISP可以更快地發現遭受攻擊的家庭物聯網設備簽名,並限制家庭路由器的流量。
目前P2P協作分析法還是一種較為前衛的企業協同防護策略,與傳統孤立的檢測和減輕網絡威脅的方法相比,在未來假如雲提供商、ISP、VoIP公司和大學校園在網絡中部署P2P協作分析法後,即使面對大流量的訪問情況,也能夠快速交換信息和分析流量異常,並通過網絡信息共享與分析來加強IT基礎架構的防護能力。
閱讀更多 網絡安全焦點 的文章
