当前,网络安全市场已经进入快速发展期,中国也已经成长为全球第二大网络安全支出国家。IDC预测,2019年中国安全解决方案总体支出将达到近70亿美元,年复合增长率更是远高于全球平均水平。
Akamai是网络安全权威企业,其定期发布的《互联网发展状况安全报告》,是业内知名的互联网“情资”。近日,Akamai企业安全产品资深总监Nick Hawkins、Akamai亚太区云安全区域副总裁Unmesh Deshmukh、Akamai区域副总裁暨大中华区总经理李昇接受了51CTO的采访,对当今网络安全的趋势及应对方法进行了深入探讨。
网络安全新动态
Akamai区域副总裁暨大中华区总经理李昇结合Akamai最新发布的《互联网发展状况安全报告》及Akamai最新发布的产品更新,从三个方面分享了网络安全新动态。
一、目前,网络安全攻击已从传统的ddos粗犷型的攻击转向应用层上层,尤其是“撞库”攻击。可能会有很多人认为“撞库”对电商或金融行业的危害较大,但Akamai最新报告数据显示,除了传统意义上受“撞库”影响较大的电商及金融行业外,媒体行业、互联网视频、互联网社交媒体等行业网站被“撞库”攻击的概率也非常高。根据Akamai报告,2018年出现的三次最大规模的撞库攻击均是针对流媒体服务,规模介于1.33亿次到2亿次攻击尝试,且都是在被报告数据泄露后不久发生的,这表明黑客可能会在出售被盗证书之前对其进行测试。
此外,这些攻击呈现出一个特点:即这是一个“黑产业”,存在其产业链。一旦某个网站客户的账号和密码组合被泄露,那么在第二天甚至几个小时后,互联网上就会发起巨量的“撞库”尝试。很多互联网用户为了方便记忆,会在不同的平台上使用相同的账号密码,攻击者就是利用这一点发起“撞库”攻击,因此成功率也非常高。而同样地,媒体行业也越来越受到这一“黑产业”的关注。举例来说,最近HBO的热门剧、需要付费观看的《权力的游戏》,它的视频资源在正式发布之前就被泄露了。
二、从整个互联网流量看,传统HTML的流量比例在逐年减少。而基于原生应用程序的API流量增长率非常高,去年的统计是83%的流量来自于API,而非传统的页面浏览。从攻击层面来看,API流量的攻击方式与原来的页面攻击有所不同。原来传统的防范手段,如网络应用防火墙等,已不适用于API类型的攻击。因此,如何应对目前互联网上占绝大部分流量的API类型的攻击,也是一个新的趋势。
三、今年3月份Akamai发布了一些重要产品更新,特别是对安全类产品做了一些补充。众所周知,Akamai在“安全防护”产品上,包含了从基础设施层的DDoS攻击,到应用层的WAF,包括爬虫管理器(Bot Manager),这些都可以理解为从金字塔低到高扩展的防护手段。在“爬虫管理”的场景下,Akamai的重点是帮助用户防范像“撞库”这类攻击的发生。今年,Akamai通过收购一家“用户身份管理”行业的领导企业Janrain,来强化这方面的用户标识、用户登陆账号的管理。通过此次收购,Akamai在互联网“账号滥用”防范方面的技术手段又得到了新的增强。通过两家公司技术的强强联合,Akamai能够对用户的身份管理、账户管理进行更有效的检测。并且,即使检测出某账户和密码已在系统存在,Akamai还能够通过其它维度来判断这一访问是不是来自正常用户:是账号拥有者正常登录,还是通过其它非正常手段进行尝试。
5G与边缘计算带来的新挑战
5G时代即将到来,5G可以更大地扩展边界、更大范围地提高用户体验。5G还会大幅度提高设备运行的速度、增加可以接入的设备数量。由于有越来越多的设备接入,同时带宽越来越大,网络威胁将与日俱增。李昇表示,应对方式主要有两种:一是网络接入设备的生产商,有责任来保证网络连接设备的安全性,而且要尽可能地减少漏洞。二是像Akamai这样的公司,可以给用户提供更好的安全防护战略,从而保护他们免受现在网络上流行的攻击威胁,以及将来有可能发生的攻击的威胁。
说到边缘安全,Akamai亚太区云安全区域副总裁Unmesh Deshmukh表示,Akamai所有的执行机制都是在边缘,所以Akamai能够从容应对非常“聪明”且访问量巨大的攻击。例如,Akamai能够通过人工智能和机器学习技术有效地分析出好爬虫和恶意爬虫。同时,Akamai的执行完全分散到Akamai的边缘,每个边缘都有足够的能力,智能地执行安全策略和判断。所以Akamai边缘安全的“可扩展性”是非常大的,这一“扩展性”与边缘交付、内容交付的可扩展性一致。
边缘的安全控制和防范是Akamai最主要的能力。除此之外,Akamai还能够把对于用户内容的一些处理“分担”或“卸载”到边缘上来做,例如对图片不同格式的处理和游戏直播等。可见,边缘计算在未来有很大发展空间。
李昇也进一步表示,一些领先的IT咨询公司已经意识到互联网云计算的新一波重点已从初期的“超级计算中心”走向“边缘”。“边缘”是未来云计算的新趋势,其也与5G的发展有一定的相关性:未来,企业不可能把所有的请求全部返回到中心的超级大数据库里,必须在离用户、离设备、离物联网中的“物件”最近的地方,就有能力去处理。
对“零信任”架构的看法
对于当下较火的“零信任”架构,Akamai企业安全产品资深总监Nick Hawkins也给出了自己的评价。在他看来,“零信任”架构的适用原则主要有三个方面:
第一,要一直假设这个网络是不安全的,时刻都要警惕威胁的存在。
第二,不再允许或者是不再提供基于地点的任何优势。也就意味着,在公司内部的网络上网与在公司外部的网络上网相比,是没有任何优势的。
第三,所有的通讯都需要经过身份验证,并且会被授权,这样才能够进行通讯。
Nick Hawkins表示,基于这三个重要原则,应用程序防护措施应该是“自上而下”的,而不是像之前“自下而上”的,即用户需要成功验证自己的身份后,才能获得授权、才有权利被连接。这与传统的应用VPN连接相比是一个巨大的改变。“身份”是用户唯一的验证方式,使他们能够获得成功的授权进行访问。如果用户无处不在、应用程序无处不在,就需要这样一个“边缘保护”平台,才能够更好地执行“零信任”措施。
作者:赵立京
声明:本网站发布的内容(图片、视频和文字)以用户投稿、用户转载内容为主,如果涉及侵权请尽快告知,我们将会在第一时间删除。文章观点不代表本网站立场,如需处理请联系客服。电话:028-62778877-8261;邮箱:jenny@youkuaiyun.com。本站原创内容未经允许不得转载,或转载时需注明出处::优快云资讯门户 » Akamai:解读网络安全新动向