對于大多數(shù)組織而言,2020年新冠疫情的持續(xù)蔓延已經(jīng)帶來了不勝枚舉的挑戰(zhàn),但可悲的是,網(wǎng)絡(luò)犯罪分子似乎總是渴望通過“加重痛苦”的方式來獲得人們的關(guān)注。2020年中下旬,Imperva公司調(diào)查發(fā)現(xiàn),針對全球成千上萬大型企業(yè)組織的勒索拒絕服務(wù)(RDoS,即勒索+分布式拒絕服務(wù))攻擊已顯著增加。在RDoS活動中,網(wǎng)絡(luò)犯罪分子會針對目標網(wǎng)絡(luò)發(fā)動分布式拒絕服務(wù)(DDoS)攻擊,進而對其進行威脅勒索,直至該目標企業(yè)支付贖金為止。這些威脅釋放了一個更嚴峻、更令人不安的征兆:網(wǎng)絡(luò)級和應(yīng)用層攻擊的規(guī)模和頻率正在呈現(xiàn)前所未有的增加趨勢。
DDoS攻擊的規(guī)模和復(fù)雜度不斷提高
Imperva研究實驗室發(fā)現(xiàn),在過去的10個月中,網(wǎng)絡(luò)犯罪分子針對其客戶的DDoS攻擊數(shù)量(無論是規(guī)模、數(shù)量還是強度)都在顯著增加。2020年7月,Imperva公司報告了規(guī)模和范圍強大的網(wǎng)絡(luò)攻擊動態(tài),而在用一個月,它還報告了一項最高的每秒數(shù)據(jù)包攻擊記錄,具體為139 MPPS。2020年8月,最大的帶寬攻擊記錄為每秒696Gbit。盡管2020年9月的網(wǎng)絡(luò)攻擊沒有達到這些峰值,但也接近了2020年迄今為止DDoS風(fēng)險最高的月份。這些全球DDoS攻擊的頻率和強度已經(jīng)超過了2019年11月(假日購物高峰期)的水平。
由于分布在全球各地的“僵尸軍團”中的大量計算機正在試圖使用虛假流量淹沒服務(wù)器,以使其離線脫機,因此DDoS攻擊要遠比一臺計算機實施的拒絕服務(wù)(DoS)攻擊更具破壞性。然而,近年來,我們又注意到了一個令人不安的趨勢:DDoS攻擊成為轉(zhuǎn)移人們注意力的“煙幕”——服務(wù)中斷將IT團隊的注意力從單獨的、更復(fù)雜的網(wǎng)絡(luò)入侵行為(例如帳戶接管或網(wǎng)絡(luò)釣魚)中轉(zhuǎn)移。
僅僅是DDoS的破壞就已經(jīng)足夠嚴重了。有針對性的攻擊活動,往往只需幾分鐘就能輕松瓦解目標網(wǎng)絡(luò),而要恢復(fù)正常運行則要花費數(shù)小時甚至更久。實際上,調(diào)查數(shù)據(jù)顯示,有91%的組織由于DDoS攻擊而遭受了停機,平均每次停機對組織帶來的損失高達30萬美元。而除了直接的收入損失外,DDoS攻擊還會影響客戶信任度,迫使企業(yè)賠償用戶大量違約金,并造成長期聲譽損失,尤其是在導(dǎo)致其他違規(guī)行為的情況下。
成功抵御DDoS的七個要素
由于許多組織正在新冠疫情的陰霾下苦苦掙扎,而成為網(wǎng)絡(luò)攻擊的受害者可能是壓垮駱駝的最后一根稻草。面對這種情況,進行全面的防御是必不可少的,但是從大規(guī)模的網(wǎng)絡(luò)攻擊到復(fù)雜而持久的應(yīng)用層威脅,組織需要考慮的潛在解決方案的最重要因素是什么?
1.緩解方案的服務(wù)等級協(xié)議(SLA)
當幾秒鐘的停機時間可能會對組織業(yè)務(wù)帶來損害時,緩解時間(time to mitigation,簡稱TTM,即第一個DDoS數(shù)據(jù)包攻擊系統(tǒng)與DDoS緩解系統(tǒng)開始清理傳入流量之間的時間)是至關(guān)重要的考慮因素。企業(yè)組織應(yīng)該尋找一種解決方案,該解決方案的服務(wù)等級協(xié)議(SLA)可以確保在幾秒內(nèi)緩解任何DDoS攻擊——而不僅僅是簡單的攻擊媒介。
2.技術(shù)能力
企業(yè)組織需要采用專門針對每種類型的DDoS攻擊量身定制的技術(shù)。例如,可以通過機器學(xué)習(xí)對流量進行概要分析,并根據(jù)行為模式變化定義和更新相關(guān)DDoS安全策略的技術(shù),以阻止容量耗盡攻擊(volumetric attack,即使用不需要的請求淹沒受害者的系統(tǒng))以及協(xié)議攻擊(利用傳輸層)。這可以與威脅研究算法相結(jié)合,作為多階段實時緩解過程的一部分,以解決可疑活動。
3.操作簡便
考慮到在確保業(yè)務(wù)連續(xù)性方面的作用,DDoS防護的實施和操作不應(yīng)該太過繁瑣笨拙。如果DDoS防護軟件的操作過于復(fù)雜,企業(yè)組織將無法把握住那短暫且珍貴的緩解時間(TTM),以致于可能將承受網(wǎng)絡(luò)攻擊帶來的巨大損失。
4.網(wǎng)絡(luò)設(shè)置
DDoS防護可以是始終不間斷的操作,也可以是按需保護,即僅在發(fā)生網(wǎng)絡(luò)攻擊時才激活。不過,無論緩解措施是自動觸發(fā)還是通過人工觸發(fā),廣泛的連接選項也是使組織能夠順利適應(yīng)自身拓撲的關(guān)鍵。
5.地理分布
全面的地理覆蓋至關(guān)重要。企業(yè)組織需要尋求具有全球DDoS清理中心網(wǎng)絡(luò)以及范圍廣泛的直接對等(Peering)協(xié)議和Tier 1傳輸運營商的供應(yīng)商進行合作。這樣一來,無論數(shù)據(jù)中心和/或云資產(chǎn)的位置在哪里,企業(yè)組織都可以獲得最快速的保護服務(wù)。
6.高效可操作化的緩解方案
DDoS防護就是快速分析、識別和緩解惡意流量。流量信息是關(guān)鍵要素,所以靈活的訪問方式至關(guān)重要。在全天候在線運營的情況下,解決方案需要實時采樣和分析不斷流動的數(shù)據(jù)流量。這些信息不僅用于網(wǎng)絡(luò)攻擊檢測,還用于更細粒度的流量分析,當識別DDoS“煙幕”和潛在攻擊時,可以幫助提供重要的“全局”視圖。
7.整合
原生API功能是現(xiàn)代DDoS保護系統(tǒng)的關(guān)鍵要素。例如,通過與安全信息和事件管理(SIEM)平臺的原生整合,可以將安全信息和事件實時捕獲、保留和傳遞到所選的SIEM應(yīng)用程序中,通過該應(yīng)用程序可以在更廣泛的上下文中更為輕松地訪問和查看這些信息。
通過在DDoS防護策略中考慮這七個要素,企業(yè)組織可以積極主動地抵御這些日趨嚴重的網(wǎng)絡(luò)攻擊。
本文翻譯自:https://www.information-age.com/seven-elements-successful-ddos-defence-123492675/