如果您的计算机被黑客入侵,戴尔·德鲁会知道发生了什么啥事情。
Level 3通信公司
他是运营商Level 3的首席安全官,对于Level 3来说,一个拥有超过15亿IP地址在世界范围内面临恶意活动威胁的骨干网运营商,时刻关注着网络层面的攻击。
这意味着这些IP地址背后的电脑面临着分布式拒绝服务的攻击、垃圾邮件、公司服务器泄露等威胁,德鲁说道。
黑客通常能够入侵电脑从而使其对互联网产生危害,但是电脑使用者往往意识不到这些,德鲁表示。
Level 3的追踪能力聚焦于互联网服务提供商如何在全网范围内探测恶意行为规律,甚至精准定位被用来作恶的IP地址。Level 3是运营商当中,最先向用户发出计算机被感染提示的通信公司。
在很多极端案例中,Level 3能做到仅限制骚扰客户的恶意数据,有效地阻挡来自黑客的攻击。
那么为什么运营商不能对网络犯罪做大贡献呢?问题是运营商在辨别正常与恶意数据流量的方面仍有局限,在想方设法应对时如同打开了潘多拉魔盒。
恶意行为的规律
Level 3建立了一个内含17.8亿IP地址的数据库——绝大多数是静态IP地址,与可疑活动相连接。德鲁表示这么做是为了从正常互联网数据中精准识别恶意行为的规律,他以开一个邮局为例,尽管Level 3并不对互联网数据的内容做任何检验,但它清楚谁寄了什么给谁。
例如,“每次客户从X那收到红色信封都声称是垃圾邮件,那我就可以根据这些行为得到启发。”
危害行为的规律帮助Level 3建立算法识别可疑数据流,在其追踪的数以百万计的IP地址中,60%与僵尸电脑绑定,或者被感染用于发动DDoS攻击的电脑。
Level 3将另外22%的归类于邮件钓鱼骗局。
有人可能提出疑问为何Level 3不直接在网上封了这些IP地址,但是这么做会有问题:通常情况下,被入侵的用户无法感知到他们的机器已经有了漏洞,这些电脑也可能会用于其他重要工作,例如金融转账。
封杀这些机器会造成数百万美元转账终止,德鲁表示。
戴尔·德鲁,Level3首席安全官
公司转而通过告知客户问题IP地址,在很多时候,涉及到业务,所以他们的反应很迅速,德鲁提到。然而,IP地址并没有绑定客户电话,所以Level 3只能通过终端提供者找到客户。
遭遇瓶颈
总体来说,这是一场恶战。“我们修复了一个IP地址,就意味着更多的IP地址被入侵。”德鲁说道。
其他运营商,包括在欧洲的一些,也会在用户电脑可能存在感染时告知他们。这项工作已经实践了超过1年,但是让用户去修好他们感染的点好并非易事,Richard Clayton说。他是剑桥云犯罪中心的负责人。
即便运营商传递了注意的消息给客户,接下来呢?不是所有的PC用户都知道如何解决恶意软件感染,CLayton说道。对于运营商来说这也是一笔支出。
“我们想得到运营商的帮助,但他们处在一个竞争性的市场里。”他说,“他们为了减低成本什么都做得出来,对客户传递信息不是件便宜的事。“
除此之外,运营商不能辨别出每一种恶意网络攻击。大多数黑客利用假面伪装在正常流量中攻击,运营商的探测手段也偶尔会报错,Clayton说。
“如果你有99%的探测率,那在学术期刊上,这就是很棒的了。”他提到,“但这意味着在1/100的情况中,你错了。”
没有魔法子弹
彻底打击掉嫌疑黑客通常需要执法部门和安全专家持续的努力与对威胁的彻底调查,政府与运营商也在通过网站和服务告诉用户如何有效地清理电脑。
对运营商来说保持收支平衡很难,EdCabrera说。他是抗病毒服务提供商趋势科技的首席网络安全官,“他们能够很轻松地进行探测,”他说,“但不愿对被锁定的东西负责。”
网络犯罪持续提高游戏难度,使他们探测起来更困难,“问题是并不是非黑即白,”Cabrera说,“我们可以很简单地说运营商做得不够,但我认为这样讲不公平。”
Level 3的德鲁说认为有出奇制胜的妙招对抗网络安全问题是一个很有诱惑力的说法,但是目前来看,还需共同的努力——运营商们,政府、企业和客户——保持网络的洁净与设备的安全。
“即便我们能够去研发出一种黑科技来分析恶意流量,但仍然修复不了已被感染的设备,”德鲁说,“终端用户仍然需要对设备进行修复。”
他同时鼓励所有的运营商,当电脑被黑客劫持时,采取Level 3的办法告知客户。
如果更有运营商加入进来,德鲁说,“我们也许能取得进展。”
(责任编辑:宋编辑)