七個訣竅幫你抵御DDoS攻擊
譯文隨著黑客們隱藏自己的手段愈發(fā)高明、攻擊招式更為兇狠,各行各業(yè)的安全領(lǐng)導者們需要盡快做好準備。
如果向全國各大主要銀行的CSO們詢問近幾個月來所遭遇過的分布式拒絕服務(wù)攻擊(簡稱DDoS),他們一定會三緘其口。沒錯,保持沉默正是安全人士的首選態(tài)度。
安全高管們從不愿意談?wù)撨@些攻擊活動,因為他們不希望自己的言論使企業(yè)受到更多關(guān)注。他們甚至擔心光是提供防御策略的基本信息就足以吸引攻擊者前來并找到安全漏洞。
但很多企業(yè)在初次受到攻擊時就已經(jīng)發(fā)現(xiàn)端倪,而安全管理者也需要針對惡意攻擊是否還將卷土重來給出答案。因此盡管CSO們不愿多談,但我們?nèi)匀幌M芰私馑麄兊奶幚響B(tài)度。為了避免意外的麻煩,我們以不具名的形式轉(zhuǎn)述幾位CSO在工作中所親歷的情況,并探討原先一直奏效的安全策略為何最終折戟沉沙。
DDoS攻擊在過去幾年中的兇猛程度可謂史無前例,黑客行動主義者們清楚,金融服務(wù)網(wǎng)站一旦停機意味著每分鐘都將造成數(shù)百萬美元的業(yè)務(wù)損失。曾針對美國銀行、第一資本金融公司、大通銀行、花旗銀行、PNC銀行以及富國銀行的攻擊可謂冷酷無情而又精妙復雜,使得眾多安全高管甚至畏懼到不敢對細節(jié)進行深入討論。
“這些DDoS攻擊活動已經(jīng)成為非常敏感的話題,我們現(xiàn)在無法進行公開討論,”某家太平洋西北部地區(qū)中型銀行的CISO如是說。
“企業(yè)通信部門目前禁止我們與媒體探討具體情況,高調(diào)聲張可能會導致公司成為更多攻擊者的關(guān)注目標,”某位美國東南部金融服務(wù)企業(yè)的安全負責人表示。
盡管二次世界大戰(zhàn)的宣傳海報曾經(jīng)道出“言多必失”這一真理,但“知識就是力量”同樣是不容置疑的箴言,在現(xiàn)代業(yè)務(wù)技術(shù)系統(tǒng)的保護方面更是如此。毫無疑問,作為一位新興銀行組織的首席信息安全官,在遭遇首輪攻擊后選擇避而不談絕對有失水準。面對安全威脅,大家需要的是暢通的信息、新型攻擊資料以及防御體系發(fā)展趨勢,而這一切都需要良好的交流環(huán)境。
有人認為,監(jiān)管部門、公共部門以及金融機構(gòu)之間長期以來的緊張關(guān)系至少應該為網(wǎng)絡(luò)安全事故承擔一部分責任,因為企業(yè)正是由于這種矛盾而往往選擇大事化小、小事化了。
“推動協(xié)作與信息共享進程的最佳途徑在于確保機構(gòu)之間能夠順利交流關(guān)于成功與失敗的任何信息,同時不會引發(fā)后續(xù)風波。如果一家機構(gòu)在提交了攻擊活動報告后,監(jiān)管部門反倒第一個跳出來準備進行處罰,那么沒人會愿意再把安全情況放到桌面上來談,”安永會計師事務(wù)所信息安全咨詢服務(wù)主管ChipTsantes指出。
談到最近興起的一股股DDoS攻擊波瀾,是否有能力識別出攻擊活動并迅速組織威脅應對手段成為決定事故結(jié)果的關(guān)鍵性因素。做到這兩點,企業(yè)就能保持自己的服務(wù)持續(xù)可用;一旦失敗,服務(wù)將只能被迫下線。
“最近這些DDoS攻擊發(fā)展勢頭非常迅猛,每次出現(xiàn)的新攻擊都采取與之前不同的實施策略,”IBM公司財務(wù)部門安全戰(zhàn)略專家LynnPrice表示。從本質(zhì)上講,攻擊者的策略旨在提高自身攻擊能力,借助先進的基礎(chǔ)設(shè)施與應用程序指向工具并實現(xiàn)攻擊活動的自動化進行。
“他們的攻擊能力越來越復雜且難以捉摸,安全人員甚至很難發(fā)現(xiàn)到底哪些IT堆棧成為其攻擊目標,”她解釋道。
在這種環(huán)境下,保持沉默幾乎成了一種協(xié)助犯罪行為。因此盡管CSO們對于分享信息采取“非暴力不合作”態(tài)度,我們?nèi)匀辉O(shè)法通過一些內(nèi)幕會議及采訪活動收集到一部分資料,借以了解安全專家原先是如何幫助這些受害企業(yè)構(gòu)建防御機制的。通過這樣的方式,我們?yōu)楦魑蛔x者朋友總結(jié)出以下應對DDoS攻擊的訣竅。#p#
為實時防御調(diào)整做好準備
“這些攻擊不僅指向多個目標,其具體戰(zhàn)術(shù)也在實時進行改變,”Arbor網(wǎng)絡(luò)美國公司解決方案架構(gòu)師GarySockrider表示。攻擊者們會觀察站點的響應情況,并在站點重新上線之后立即組織新的攻擊方式。
“他們絕不會半途而廢,嘗試不同端口、不同協(xié)議或者從新的源頭實施攻擊,總之他們不達目的誓不罷休。戰(zhàn)術(shù)總是處于變化之中,”他指出。“企業(yè)用戶必須理解對手的這種快速靈活特性,并為之做好準備。”
不要僅僅依靠內(nèi)部防御機制
在與所有采訪對象的交流中,我們發(fā)現(xiàn)傳統(tǒng)的內(nèi)部安全體系——防火墻、入侵防御系統(tǒng)以及負載均衡機制——都無法阻止攻擊活動。
“我們親眼見證這些設(shè)備在攻擊面前被一一摧毀。得到的教訓非常簡單:只有在攻擊真正抵達這些設(shè)備前就加以扼制,我們才能真正緩和DDoS危機。安全設(shè)備同樣存在漏洞,其漏洞之多與我們想要保護的服務(wù)器本身并無二致,”Sockrider解釋稱。為了實現(xiàn)更理想的防御效果,我們必須依賴上游網(wǎng)絡(luò)運營商或托管安全服務(wù)供應商們的支持,他們的協(xié)助能將攻擊活動阻隔在網(wǎng)絡(luò)體系之外。
當面對大規(guī)模攻擊時,從上游開始抵御攻擊就顯得更加重要。
“如果我們的互聯(lián)網(wǎng)連接只能承載10GB數(shù)據(jù)傳輸量,而攻擊活動卻帶來100GB傳輸量,那么希望將其降低至10GB的任何努力都將是徒勞的,因為上游導入的信息總量已經(jīng)注定了服務(wù)崩潰的悲慘命運,”Sockrider總結(jié)道。
在內(nèi)部撲滅應用程序?qū)庸?/strong>
指向特定應用程序的攻擊活動一般比較隱蔽,規(guī)模較小而且更有針對性。
“這類攻擊著力改進自身隱蔽性,因此我們需要在內(nèi)部或者數(shù)據(jù)中心體系中實施保護,這樣才能實現(xiàn)深度包檢測并掌握應用程序?qū)又械娜壳闆r。這是緩解這類攻擊的最佳方式,”Sockrider告訴我們。#p#
協(xié)作
銀行業(yè)已經(jīng)在遭遇攻擊時采取了一定程度的協(xié)作機制。他們所披露的一切信息都會受到嚴格保護,并只與內(nèi)部同行進行分享。這種結(jié)合了限制機制的協(xié)作途徑讓銀行業(yè)在安全協(xié)作方面的表現(xiàn)優(yōu)于大多數(shù)其它行業(yè)。
“他們與其它銀行同仁及電信供應商開展交流,而且直接與服務(wù)供應商展開合作。當然,他們別無選擇,因為單憑自己的力量根本無法在嚴酷的安全世界中生存下來,”Price指出。
他們還向金融服務(wù)信息共享及分析中心尋求技術(shù)支持,并與其分享自己的安全威脅信息。
“在這類信息交流會議上,有一些大型銀行采取非常開放的溝通態(tài)度,積極與他人分享自身所遭遇的安全威脅以及切實有效的處理方案。通過這種方式,大型銀行至少打開了溝通渠道,”Akamai技術(shù)公司金融服務(wù)部門首席戰(zhàn)略專家RichBolstridge評價稱。
金融行業(yè)的戰(zhàn)略視角可以也應該被廣泛推廣到各行各業(yè)當中。
提前準備應急預案
企業(yè)必須努力預測應用程序及網(wǎng)絡(luò)服務(wù)可能面臨的安全威脅,并通過制定安全應急預案來緩解這些攻擊所造成的后果。
“企業(yè)應該將注意力集中在攻擊本身,并提前制定規(guī)劃以部署響應流程。他們還可以匯總內(nèi)部攻擊信息并將其提供給供應商,從而形成同仇敵愾的攻擊對抗聯(lián)盟,”Tsantes建議道。
IBM公司的Price對此也表示贊同。
“企業(yè)需要組織起更理想的響應措施。他們需要將內(nèi)部應用程序團隊與網(wǎng)絡(luò)團隊進行整合,幫助技術(shù)人員了解攻擊活動出現(xiàn)時應如何做出響應,這樣才不至于由于慌亂而導致坐以待斃的狀況。由于攻擊者們越來越狡猾,金融機構(gòu)也要快速成長才能跟上形勢,”她進一步解釋道。
目前,許多大型金融機構(gòu)已經(jīng)開始著手強化DDoS防御體系,但觀察家們擔心攻擊者會將攻擊目標轉(zhuǎn)移到規(guī)模較小的銀行、信用社甚至其它行業(yè)身上。
“多輪攻擊活動的肆虐已經(jīng)引起了某些地區(qū)銀行管理層的高度重視,他們開始積極幫助企業(yè)做好應對準備,這也算是惡意事故的正面影響,”大西洋中部地區(qū)某家銀行的IT安全官評論稱。
“而受到大型機構(gòu)的啟發(fā),很多規(guī)模較小的銀行也開始著手籌備,因為他們已經(jīng)意識到自己同樣可能成為攻擊活動的下一個目標,并由于擔憂而激發(fā)出強大的主觀能動性,”Bolstridge指出。
Pirce則解釋稱,這意味著大多數(shù)企業(yè)都將更多依賴于服務(wù)供應商與管理安全服務(wù)供應商所提供的支持。
“他們需要對自家系統(tǒng)做出彈性評估,并確保其服務(wù)供應商已經(jīng)準備好應對潛在攻擊并能為其提供足夠的保護,”她總結(jié)稱。#p#
當心次要攻擊
由于攻擊活動的組織成本不斷提高,某些惡意侵襲甚至有可能成為規(guī)模更大、手段更兇猛的安全威脅的掩護活動。
“DDoS攻擊還可能充當一種障眼法,旨在為其它更為險惡的攻擊提供掩護。銀行一定得明白,他們不僅需要監(jiān)測并防御DDoS攻擊,同時也必須時刻當心嘗試竊取賬戶或其它敏感信息的次要攻擊——雖然名為‘次要’,但這才是犯罪分子的真正目的,”Price表示。
非銀行業(yè)也需要警惕
雖然目前大部分攻擊活動都集中在金融領(lǐng)域,但專家們提醒稱其它行業(yè)同樣有可能受到波及。
“我們不希望看到這種級別的攻擊出現(xiàn)在醫(yī)療保健等其它行業(yè),因為這些行業(yè)由于缺乏成為攻擊目標的心態(tài)而很少配備充分的保護措施,”Bolstridge提醒道。“希望大家能將此視為安全警鐘,并以適當方式評估自身面臨的風險。”
而信息共享正是攻擊活動中的重要環(huán)節(jié)。
“攻擊者們彼此之間當然也會共享信息。事實上,只有第一位攻擊者才是真正的技術(shù)天才,其他人則只能稱為跟風而上的受益者,”他總結(jié)道。
壞家伙們的行事方式也應當成為好人們的行為準則。信息共享、攜手合作,這才是對抗惡意活動的絕佳方式。
