WanaCry通过SMB Service的OOB攻击,上传恶意软件复制自身,加密宿主机上的文件从而勒索用户。一般在安全领域的做法有以下几个方法:
给所有有潜在威胁的系统打补丁。微软早在三月份就发布了MS17-010的补丁。更新安全信息库。Exploit已经公布,各大安全厂商跟进update了安全库。有防火墙的部门要及时更新安全库。启用相关安全选项。可以发现并阻断,但是没法消除。也没法防止在防火墙内部传播。关闭445端口。如果没有买安全服务,不能更新安全数据库,则必须在防火墙上关闭445端口,防止外来攻击和病毒传播。但这样会失去445端口的服务能力,同时同样对于内部攻击就无能为力。隔离易感染的机器,断网。断网开机,逐个排查。
可见以上每一种方案都需要很多人力物力去实施,假设你有成百上千台机器或机器还在移动如笔记本电脑,这个工作量和难度就比较大了。而SDN的环境中解决这个问题可以用一个大杀器:流表下发。
流表下发与清洗
通过下发流表到所有的节点,把所有445端口的流量暂时引导到一个清洗中心,在清洗中心进行过滤。如果发现攻击特征则可以下发流表阻隔该VM/HOST的445端口或者隔离整个VM。清洗之后的流量再引导回原节点。
由于SDN控制器知道每一个节点的OS,甚至可以更加智能的有选择的只把有潜在威胁的445端口的流量引导到清洗中心(Windows 10之前的OS)。这样对于客户来讲一切照旧,不需要紧急断网,不需要停顿业务,也不需要独立购买昂贵的服务(但依然需要有服务商)。
SDN服务商可以通过简单的流表配置和下发迅速的把所有流量转移,达到清洗流量,隔离感染源头,维护原有业务,同时对于客户来讲一切都是透明的:business as usual.
不可否认,防火墙依然是网络安全的核心部件。但是对于突发事件如WanaCry这样的病毒,SDN的方法迅速、高效、简单透明,有着很大的优势。也许今后的安全需要两者进一步的融合。
SDN不光可以Define network,还可以Defend network。
本文转自d1net(转载)
