6月15日，一個名為“無敵艦隊(Armada Collective)”的境外黑客組織向國內多家證券公司、互聯網金融公司發起了一次大規模的DDOS攻擊，其勒索行為與今年5月份的Wannacry病毒如出一轍，要求被攻擊目標支付比特幣以交換正常的業務運行。

相比之下，本次勒索更為惡劣，攻擊者聲稱如果在6月21日之前未收到10個比特幣(約18萬人民幣)作為贖金，則攻擊開始之后贖金將漲到20比特幣，且后續每一天攻擊的贖金都將增加10個比特幣。攻擊者也在信中告知其可以發動每秒TB級的攻擊。

各行業面臨網絡惡意攻擊潛在威脅

這并不是該組織的第一次行動，早在2015年12月，“無敵艦隊(Armada

Collective)”就開始對中國境內的互聯網企業實施同樣手法的DDoS攻擊的勒索。

如今互聯網行業呈現繁榮發展的局勢，各個行業都面臨著網絡惡意攻擊的潛在威脅，尤其是金融行業。據卡巴斯基實驗室發布的《2016年金融網絡威脅報告》顯示，2016年，針對金融機構及其客戶的網絡攻擊數量達到新高度，近109萬銀行木馬攻擊用戶，比上年增長約30.6%。其中，約21%被攻擊的用戶是企業用戶。

同時，國家互聯網應急中心發布的安全年報稱，在2016年CNCERT檢測到1Gbps以上的DDoS攻擊事件日均452起，雖然比2015年下降60%，但同時發現，2016年大流量攻擊事件數量全年持續增加，10Gbps以上攻擊事件數量第四季度日均攻擊次數較第一季度增長1.1

倍，全年日均達133次，占日均攻擊事件的29.4%，另外100Gbps以上攻擊事件數量日均達到6起以上。

目前應對傳統的L2-L4層DDoS攻擊，運營商已有相應的方案，但當前的DDoS攻擊是復合型攻擊，幾乎遭到L2-L4層攻擊的用戶，都同時在遭受L4-L7層攻擊，如此次事件，網絡攻擊人員會針對目標客戶量身定制攻擊程序，讓企業無法通過常規防御手段實現安全防護目標迫使企業就范。

企業，尤其是在金融業，需要重新審視自身的防御架構，把如何應對列為重要課題。

可編程防御架構靈活定義防御策略

世界交易所聯盟與國際證監會聯合組織報告稱，目前金融行業遭受的網絡攻擊主要分為信息類以及系統類兩大攻擊行為。信息類攻擊主要是指通過收集、竊聽公司員工的個人電腦或手機，盜取一些重要隱秘信息，通常這些攻擊表現并不明顯，一旦被發覺造成的損失已經非常嚴重了;而系統類的網絡攻擊是指破壞入侵金融流程、支付交易后臺系統、攻擊企業服務器導致網站系統崩潰，客戶無法正常使用，給企業直接造成巨大經濟損失。

信息安全的核心對抗。今天，DDOS攻擊已經具備大流量、多樣化、組合式和高頻變化等特點，攻擊者用低廉的成本即可發動大規模的破壞性攻擊，以獲利為目的的應用層攻擊夾雜在網絡層攻擊流量中更加難以防御。企業依靠傳統的安全架構難以招架多變復雜的攻擊行為。

作為神州數碼集團自有品牌戰略的承載者，神州云科認為企業需要重新審視自身的防御架構，著眼于攻擊者的行為特點和攻擊思路，依靠動態、靈活的防御體系，充分利用多種先進的防御技術，簡單快速下發和變化防御策略，在時間上贏得對手，以應對快速變化的組合式攻擊行為。當面對基于特定場景的攻擊和精準對抗時，企業的安全架構則需要提供足夠細粒度的防御機制，用軟件定義當下所需要的安全防御架構，通過編程下發對抗命令，應對特定代碼一級的攻擊。

當企業面對大規模混合流量的DDOS攻擊時，可選擇運營商的服務解決L4層攻擊流量的清洗，在本地數據中心，可依靠神州云科PDP可編程防御平臺應對L7層攻擊和特定場景化攻擊。

神州云科PDP可編程防御平臺內置了多套國際領先的安全防御技術作為能力內核，可對抗常見的L2-L7層攻擊，也可輕松應對如慢速攻擊等復雜應用層攻擊行為。該平臺將復雜耗時的安全策略配置變成了簡單的對抗模板，面對不同的攻擊場景時，使用者可通過勾選不同的對抗模板快速下發和變化防御策略。該平臺提供開放的編程能力，當企業遭遇特定攻擊行為時，使用者可自行在平臺上下發對抗腳本，或選擇云科安全的高級對抗服務，通過編程定義更加細粒度的防御策略，應對精準攻擊。

神州云科安全公司總經理陳思介紹說，可編程防御架構，需要具備幾個特點。一是機器學習引擎，通過大數據分析，學習行為特征，形成行為畫像和防御經驗;二是整合更為開放的全球信息安全威脅情報資源;三是保留可編程能力，應對0

day攻擊和特定行為攻擊 ;四是集中管理的平臺，簡化使用方法，實現安全功能管理和應用的高度集中化;五是要整合國際國內一線安全廠商防御技術，將功能抽離并重新整合

目前，神州云科已經形成了自身獨特的防御架構和完善的產品體系，將很多國際超融合技術融合在一起，使得他們成為一個防御生態。在可編程的防御平臺上，應對不同的安全場景有不同的模板，切實做到了為某種特定場景量身定制。同時，神州云科有自己的大數據安全分析平臺，可以根據動態分析，盡快知悉風險，并向客戶描述整個攻擊過程和場景，提升當前的保衛策略，使得可編程對抗防御架構非常完整，也有預警的功能。

在實際對抗中，時間成本、人員投入、運營成本、損失危害等都應納入到企業的考慮當中。防御者應站在成本的優勢端，整合多種防御技術，用最快速的部署方式，靈活動態地定義所需的防御策略。

如果基于此種考慮，神州云科可編程防御架構或為當下應對網絡惡意攻擊的最佳選擇之一。