F5：关于物联网安全的那些事

记者：当前物联网设备面临怎样的安全威胁？

金飞：现在正处于物联网被大量部署的阶段，比如家用摄像头，用户购买时很少考虑去修改默认口令和配置，更不用说去注意设备的漏洞，因此同一品牌被大量用户所使用，且分散在全国甚至世界各地，这就很容易沦为“肉鸡”去发动大规模的DDoS攻击。与PC机不同，像摄像头这样的物联网设备从始至终很少被更新漏洞，且很少断开网络连接，因此一旦被当作“肉鸡”节点，用户很难感知，当攻击者利用蠕虫病毒来攻击某一品牌摄像头时，该类型设备很容易被递归感染，攻击者从而可以在短时间内构建起庞大的攻击体系，即僵尸网络。

记者：这种基于物联网的DDoS攻击给当前安全形势带来了哪些变化？

F5亚太区安全解决方案架构师 金飞

金飞：这种由物联网组成的僵尸网络发起的DDoS攻击相较于PC机来说成本更低、流量更大，现在到了数百G甚至T级，这对于任何一个普通的数据中心带宽来说都是难以应对的。所以F5认为，原有的针对于数据中心侧的防御架构是无法与如此大流量攻击相抗衡的，因此需要在更大的纵深防御角度去考虑。而运营商是一个非常重要的角色，防御边界外延至运营商层面成为一个很好的方式，所以企业防御架构需要与运营商联动。但另一方面加密流量的增多也导致可视化的降低，还应当解决基于SSL协议下的可视化能力，这也带来了传统防御架构的变革。

记者：F5是如何基于应用行为分析理念来应对端到端的应用安全？

金飞：基于行为的分析需要流量的可视化，首先需要建立行为模型来区分用户行为是否合规，这一方法很早就出现了，但我们强调的是行为分析需要有更加细粒度或更高层次的分析，且一定要与企业业务场景相匹配，主张任何信息安全的对抗或者策略要放到业务逻辑场景中去审视。

传统上往往是将流量分为正常流量和攻击流量，对不同流量有不同的处置方法，但我认为并不全面，更为本质的方法应该是按照流量的属性来判断，即正常流量与异常流量。也就是说可以设定某个阈值，在该阈值之下，不管是正常流量或是异常流量，常规方法就可以应对，而一旦超出阈值，哪怕是正常流量，网络架构也是难以招架。所以我们建议企业做双接入架构。

记者：具体来说是怎样实现的？

金飞：双接入架构意思是企业原有的架构不变，因为上面承载着很多合规性的东西，且设备老旧，如果在原有架构上进行扩充往往会带来各种各样的问题。而此时可以搭建一个新的链路，该链路比原有架构承载能力高一个量级，常规流量还使用原有架构，而一旦出现大流量业务或攻击则导向新链路，这样相比原有单一的架构承担所有流量来说，风险会小很多。

这种双架构体系下，在遭受大流量攻击时，由原有架构切换到新链路，这种切换是很平滑的，业务不会受到影响。毕竟F5做应用交付的高可用性是很擅长的。

记者：在防御DDoS攻击中，运营商扮演着很重要的角色，F5与运营商是如何合作的？

金飞：F5有一个叫做黑洞路由的解决方案，其理念是通过设备可将一些从攻击源处的攻击IP直接转给运营商骨干网的清洗设备，从而在远端阻断攻击。在国外F5有清洗架构Silverline云端平台，是基于运营商骨干网的防御体系，可与本地的防御设备实现策略的互动、流量的自动牵引和回驻。在国内F5也在与中国电信的云堤合作，为其提供4至7层的防御能力。