記者：當(dāng)前物聯(lián)網(wǎng)設(shè)備面臨怎樣的安全威脅？

金飛：現(xiàn)在正處于物聯(lián)網(wǎng)被大量部署的階段，比如家用攝像頭，用戶購買時很少考慮去修改默認(rèn)口令和配置，更不用說去注意設(shè)備的漏洞，因此同一品牌被大量用戶所使用，且分散在全國甚至世界各地，這就很容易淪為“肉雞”去發(fā)動大規(guī)模的DDoS攻擊。與PC機不同，像攝像頭這樣的物聯(lián)網(wǎng)設(shè)備從始至終很少被更新漏洞，且很少斷開網(wǎng)絡(luò)連接，因此一旦被當(dāng)作“肉雞”節(jié)點，用戶很難感知，當(dāng)攻擊者利用蠕蟲病毒來攻擊某一品牌攝像頭時，該類型設(shè)備很容易被遞歸感染，攻擊者從而可以在短時間內(nèi)構(gòu)建起龐大的攻擊體系，即僵尸網(wǎng)絡(luò)。

記者：這種基于物聯(lián)網(wǎng)的DDoS攻擊給當(dāng)前安全形勢帶來了哪些變化？

F5亞太區(qū)安全解決方案架構(gòu)師 金飛

金飛：這種由物聯(lián)網(wǎng)組成的僵尸網(wǎng)絡(luò)發(fā)起的DDoS攻擊相較于PC機來說成本更低、流量更大，現(xiàn)在到了數(shù)百G甚至T級，這對于任何一個普通的數(shù)據(jù)中心帶寬來說都是難以應(yīng)對的。所以F5認(rèn)為，原有的針對于數(shù)據(jù)中心側(cè)的防御架構(gòu)是無法與如此大流量攻擊相抗衡的，因此需要在更大的縱深防御角度去考慮。而運營商是一個非常重要的角色，防御邊界外延至運營商層面成為一個很好的方式，所以企業(yè)防御架構(gòu)需要與運營商聯(lián)動。但另一方面加密流量的增多也導(dǎo)致可視化的降低，還應(yīng)當(dāng)解決基于SSL協(xié)議下的可視化能力，這也帶來了傳統(tǒng)防御架構(gòu)的變革。

記者：F5是如何基于應(yīng)用行為分析理念來應(yīng)對端到端的應(yīng)用安全？

金飛：基于行為的分析需要流量的可視化，首先需要建立行為模型來區(qū)分用戶行為是否合規(guī)，這一方法很早就出現(xiàn)了，但我們強調(diào)的是行為分析需要有更加細(xì)粒度或更高層次的分析，且一定要與企業(yè)業(yè)務(wù)場景相匹配，主張任何信息安全的對抗或者策略要放到業(yè)務(wù)邏輯場景中去審視。

傳統(tǒng)上往往是將流量分為正常流量和攻擊流量，對不同流量有不同的處置方法，但我認(rèn)為并不全面，更為本質(zhì)的方法應(yīng)該是按照流量的屬性來判斷，即正常流量與異常流量。也就是說可以設(shè)定某個閾值，在該閾值之下，不管是正常流量或是異常流量，常規(guī)方法就可以應(yīng)對，而一旦超出閾值，哪怕是正常流量，網(wǎng)絡(luò)架構(gòu)也是難以招架。所以我們建議企業(yè)做雙接入架構(gòu)。

記者：具體來說是怎樣實現(xiàn)的？

金飛：雙接入架構(gòu)意思是企業(yè)原有的架構(gòu)不變，因為上面承載著很多合規(guī)性的東西，且設(shè)備老舊，如果在原有架構(gòu)上進(jìn)行擴充往往會帶來各種各樣的問題。而此時可以搭建一個新的鏈路，該鏈路比原有架構(gòu)承載能力高一個量級，常規(guī)流量還使用原有架構(gòu)，而一旦出現(xiàn)大流量業(yè)務(wù)或攻擊則導(dǎo)向新鏈路，這樣相比原有單一的架構(gòu)承擔(dān)所有流量來說，風(fēng)險會小很多。

這種雙架構(gòu)體系下，在遭受大流量攻擊時，由原有架構(gòu)切換到新鏈路，這種切換是很平滑的，業(yè)務(wù)不會受到影響。畢竟F5做應(yīng)用交付的高可用性是很擅長的。

記者：在防御DDoS攻擊中，運營商扮演著很重要的角色，F(xiàn)5與運營商是如何合作的？

金飛：F5有一個叫做黑洞路由的解決方案，其理念是通過設(shè)備可將一些從攻擊源處的攻擊IP直接轉(zhuǎn)給運營商骨干網(wǎng)的清洗設(shè)備，從而在遠(yuǎn)端阻斷攻擊。在國外F5有清洗架構(gòu)Silverline云端平臺，是基于運營商骨干網(wǎng)的防御體系，可與本地的防御設(shè)備實現(xiàn)策略的互動、流量的自動牽引和回駐。在國內(nèi)F5也在與中國電信的云堤合作，為其提供4至7層的防御能力。