F5：關于物聯網安全的那些事

記者：當前物聯網設備面臨怎樣的安全威脅？

金飛：現在正處于物聯網被大量部署的階段，比如家用攝像頭，用戶購買時很少考慮去修改默認口令和配置，更不用說去注意設備的漏洞，因此同一品牌被大量用戶所使用，且分散在全國甚至世界各地，這就很容易淪為“肉雞”去發動大規模的DDoS攻擊。與PC機不同，像攝像頭這樣的物聯網設備從始至終很少被更新漏洞，且很少斷開網絡連接，因此一旦被當作“肉雞”節點，用戶很難感知，當攻擊者利用蠕蟲病毒來攻擊某一品牌攝像頭時，該類型設備很容易被遞歸感染，攻擊者從而可以在短時間內構建起龐大的攻擊體系，即僵尸網絡。

記者：這種基于物聯網的DDoS攻擊給當前安全形勢帶來了哪些變化？

F5亞太區安全解決方案架構師 金飛

金飛：這種由物聯網組成的僵尸網絡發起的DDoS攻擊相較于PC機來說成本更低、流量更大，現在到了數百G甚至T級，這對于任何一個普通的數據中心帶寬來說都是難以應對的。所以F5認為，原有的針對于數據中心側的防御架構是無法與如此大流量攻擊相抗衡的，因此需要在更大的縱深防御角度去考慮。而運營商是一個非常重要的角色，防御邊界外延至運營商層面成為一個很好的方式，所以企業防御架構需要與運營商聯動。但另一方面加密流量的增多也導致可視化的降低，還應當解決基于SSL協議下的可視化能力，這也帶來了傳統防御架構的變革。

記者：F5是如何基于應用行為分析理念來應對端到端的應用安全？

金飛：基于行為的分析需要流量的可視化，首先需要建立行為模型來區分用戶行為是否合規，這一方法很早就出現了，但我們強調的是行為分析需要有更加細粒度或更高層次的分析，且一定要與企業業務場景相匹配，主張任何信息安全的對抗或者策略要放到業務邏輯場景中去審視。

傳統上往往是將流量分為正常流量和攻擊流量，對不同流量有不同的處置方法，但我認為并不全面，更為本質的方法應該是按照流量的屬性來判斷，即正常流量與異常流量。也就是說可以設定某個閾值，在該閾值之下，不管是正常流量或是異常流量，常規方法就可以應對，而一旦超出閾值，哪怕是正常流量，網絡架構也是難以招架。所以我們建議企業做雙接入架構。

記者：具體來說是怎樣實現的？

金飛：雙接入架構意思是企業原有的架構不變，因為上面承載著很多合規性的東西，且設備老舊，如果在原有架構上進行擴充往往會帶來各種各樣的問題。而此時可以搭建一個新的鏈路，該鏈路比原有架構承載能力高一個量級，常規流量還使用原有架構，而一旦出現大流量業務或攻擊則導向新鏈路，這樣相比原有單一的架構承擔所有流量來說，風險會小很多。

這種雙架構體系下，在遭受大流量攻擊時，由原有架構切換到新鏈路，這種切換是很平滑的，業務不會受到影響。畢竟F5做應用交付的高可用性是很擅長的。

記者：在防御DDoS攻擊中，運營商扮演著很重要的角色，F5與運營商是如何合作的？

金飛：F5有一個叫做黑洞路由的解決方案，其理念是通過設備可將一些從攻擊源處的攻擊IP直接轉給運營商骨干網的清洗設備，從而在遠端阻斷攻擊。在國外F5有清洗架構Silverline云端平臺，是基于運營商骨干網的防御體系，可與本地的防御設備實現策略的互動、流量的自動牽引和回駐。在國內F5也在與中國電信的云堤合作，為其提供4至7層的防御能力。