信息化觀察網(wǎng)

對于大多數(shù)組織而言，2020年新冠疫情的持續(xù)蔓延已經(jīng)帶來了不勝枚舉的挑戰(zhàn)，但可悲的是，網(wǎng)絡(luò)犯罪分子似乎總是渴望通過“加重痛苦”的方式來獲得人們的關(guān)注。2020年中下旬，Imperva公司調(diào)查發(fā)現(xiàn)，針對全球成千上萬大型企業(yè)組織的勒索拒絕服務(wù)（RDoS，即勒索+分布式拒絕服務(wù)）攻擊已顯著增加。在RDoS活動中，網(wǎng)絡(luò)犯罪分子會針對目標(biāo)網(wǎng)絡(luò)發(fā)動分布式拒絕服務(wù)（DDoS）攻擊，進(jìn)而對其進(jìn)行威脅勒索，直至該目標(biāo)企業(yè)支付贖金為止。這些威脅釋放了一個更嚴(yán)峻、更令人不安的征兆：網(wǎng)絡(luò)級和應(yīng)用層攻擊的規(guī)模和頻率正在呈現(xiàn)前所未有的增加趨勢。

DDoS攻擊的規(guī)模和復(fù)雜度不斷提高

Imperva研究實驗室發(fā)現(xiàn)，在過去的10個月中，網(wǎng)絡(luò)犯罪分子針對其客戶的DDoS攻擊數(shù)量（無論是規(guī)模、數(shù)量還是強度）都在顯著增加。2020年7月，Imperva公司報告了規(guī)模和范圍強大的網(wǎng)絡(luò)攻擊動態(tài)，而在用一個月，它還報告了一項最高的每秒數(shù)據(jù)包攻擊記錄，具體為139 MPPS。2020年8月，最大的帶寬攻擊記錄為每秒696Gbit。盡管2020年9月的網(wǎng)絡(luò)攻擊沒有達(dá)到這些峰值，但也接近了2020年迄今為止DDoS風(fēng)險最高的月份。這些全球DDoS攻擊的頻率和強度已經(jīng)超過了2019年11月（假日購物高峰期）的水平。

由于分布在全球各地的“僵尸軍團(tuán)”中的大量計算機(jī)正在試圖使用虛假流量淹沒服務(wù)器，以使其離線脫機(jī)，因此DDoS攻擊要遠(yuǎn)比一臺計算機(jī)實施的拒絕服務(wù)（DoS）攻擊更具破壞性。然而，近年來，我們又注意到了一個令人不安的趨勢：DDoS攻擊成為轉(zhuǎn)移人們注意力的“煙幕”——服務(wù)中斷將IT團(tuán)隊的注意力從單獨的、更復(fù)雜的網(wǎng)絡(luò)入侵行為（例如帳戶接管或網(wǎng)絡(luò)釣魚）中轉(zhuǎn)移。

僅僅是DDoS的破壞就已經(jīng)足夠嚴(yán)重了。有針對性的攻擊活動，往往只需幾分鐘就能輕松瓦解目標(biāo)網(wǎng)絡(luò)，而要恢復(fù)正常運行則要花費數(shù)小時甚至更久。實際上，調(diào)查數(shù)據(jù)顯示，有91%的組織由于DDoS攻擊而遭受了停機(jī)，平均每次停機(jī)對組織帶來的損失高達(dá)30萬美元。而除了直接的收入損失外，DDoS攻擊還會影響客戶信任度，迫使企業(yè)賠償用戶大量違約金，并造成長期聲譽損失，尤其是在導(dǎo)致其他違規(guī)行為的情況下。

成功抵御DDoS的七個要素

由于許多組織正在新冠疫情的陰霾下苦苦掙扎，而成為網(wǎng)絡(luò)攻擊的受害者可能是壓垮駱駝的最后一根稻草。面對這種情況，進(jìn)行全面的防御是必不可少的，但是從大規(guī)模的網(wǎng)絡(luò)攻擊到復(fù)雜而持久的應(yīng)用層威脅，組織需要考慮的潛在解決方案的最重要因素是什么？

1.緩解方案的服務(wù)等級協(xié)議（SLA）

當(dāng)幾秒鐘的停機(jī)時間可能會對組織業(yè)務(wù)帶來損害時，緩解時間（time to mitigation，簡稱TTM，即第一個DDoS數(shù)據(jù)包攻擊系統(tǒng)與DDoS緩解系統(tǒng)開始清理傳入流量之間的時間）是至關(guān)重要的考慮因素。企業(yè)組織應(yīng)該尋找一種解決方案，該解決方案的服務(wù)等級協(xié)議（SLA）可以確保在幾秒內(nèi)緩解任何DDoS攻擊——而不僅僅是簡單的攻擊媒介。

2.技術(shù)能力

企業(yè)組織需要采用專門針對每種類型的DDoS攻擊量身定制的技術(shù)。例如，可以通過機(jī)器學(xué)習(xí)對流量進(jìn)行概要分析，并根據(jù)行為模式變化定義和更新相關(guān)DDoS安全策略的技術(shù)，以阻止容量耗盡攻擊（volumetric attack，即使用不需要的請求淹沒受害者的系統(tǒng)）以及協(xié)議攻擊（利用傳輸層）。這可以與威脅研究算法相結(jié)合，作為多階段實時緩解過程的一部分，以解決可疑活動。

3.操作簡便

考慮到在確保業(yè)務(wù)連續(xù)性方面的作用，DDoS防護(hù)的實施和操作不應(yīng)該太過繁瑣笨拙。如果DDoS防護(hù)軟件的操作過于復(fù)雜，企業(yè)組織將無法把握住那短暫且珍貴的緩解時間（TTM），以致于可能將承受網(wǎng)絡(luò)攻擊帶來的巨大損失。

4.網(wǎng)絡(luò)設(shè)置

DDoS防護(hù)可以是始終不間斷的操作，也可以是按需保護(hù)，即僅在發(fā)生網(wǎng)絡(luò)攻擊時才激活。不過，無論緩解措施是自動觸發(fā)還是通過人工觸發(fā)，廣泛的連接選項也是使組織能夠順利適應(yīng)自身拓?fù)涞年P(guān)鍵。

5.地理分布

全面的地理覆蓋至關(guān)重要。企業(yè)組織需要尋求具有全球DDoS清理中心網(wǎng)絡(luò)以及范圍廣泛的直接對等（Peering）協(xié)議和Tier 1傳輸運營商的供應(yīng)商進(jìn)行合作。這樣一來，無論數(shù)據(jù)中心和/或云資產(chǎn)的位置在哪里，企業(yè)組織都可以獲得最快速的保護(hù)服務(wù)。

6.高效可操作化的緩解方案

DDoS防護(hù)就是快速分析、識別和緩解惡意流量。流量信息是關(guān)鍵要素，所以靈活的訪問方式至關(guān)重要。在全天候在線運營的情況下，解決方案需要實時采樣和分析不斷流動的數(shù)據(jù)流量。這些信息不僅用于網(wǎng)絡(luò)攻擊檢測，還用于更細(xì)粒度的流量分析，當(dāng)識別DDoS“煙幕”和潛在攻擊時，可以幫助提供重要的“全局”視圖。

7.整合

原生API功能是現(xiàn)代DDoS保護(hù)系統(tǒng)的關(guān)鍵要素。例如，通過與安全信息和事件管理（SIEM）平臺的原生整合，可以將安全信息和事件實時捕獲、保留和傳遞到所選的SIEM應(yīng)用程序中，通過該應(yīng)用程序可以在更廣泛的上下文中更為輕松地訪問和查看這些信息。

通過在DDoS防護(hù)策略中考慮這七個要素，企業(yè)組織可以積極主動地抵御這些日趨嚴(yán)重的網(wǎng)絡(luò)攻擊。

本文翻譯自：https://www.information-age.com/seven-elements-successful-ddos-defence-123492675/