Radware:企業中必備的5大DDoS防護技術
分布式拒絕服務(DDoS)攻擊已經進入了1 Tbps的DDoS攻擊時代。然而,Radware研究顯示,DDoS攻擊不僅規模越來越大;也越來越復雜。黑客們不斷提出新的可以繞過傳統DDoS防護措施的創新方法,損害企業的服務可用性。
同樣地,在線安全提供商也在加快腳步,推出新技術來阻止攻擊者。然而,并不是所有的DDoS防護措施都是生來平等的。DDoS防護服務的質量和所能提供的的防護措施有很大差別。
為了確保能夠防御最新和最強大的DDoS攻擊,企業必須確定其安全提供商可以提供應對這些最新威脅的最佳工具和技術。
以下是企業現代DDoS防護措施中的5項必備功能:
必備功能1:應用層DDoS防護
應用層(L7) DDoS攻擊已經超過網絡層(L3/4)攻擊,成為了最廣泛的攻擊矢量。據Radware 2017-2018年ERT報告稱,64%的企業都面臨著應用層攻擊,相比之下,面臨網絡層攻擊的企業僅為51%。
事實上,據ERT報告稱,在所有攻擊類型中(包括網絡層和應用層),HTTP洪水是排名第一的攻擊矢量。此外,SSL、DNS和SMTP攻擊也是常見的應用層攻擊類型。
許多在線安全服務都承諾可以通過WAF實現L7層DDoS防護。然而,這通常需要在DDoS防護機制的基礎之上訂閱昂貴的附加WAF服務。
這些趨勢暗示了,現代DDoS防護已經不只是為了防御網絡層DDoS攻擊。為了讓企業得到充分保護,現代DDoS防護措施必須包含可以防御應用層(L7)攻擊的內置防御措施。
必備功能2:SSL DDoS洪水防護
目前,加密流量占了互聯網流量的一大部分。根據Mozilla的Let’s Encrypt項目,全球70%以上的網站都是通過HTTPS傳輸的,這一比例在美國和德國等市場中更高。這些發現在Radware最新的ERT報告中都有所體現,目前,96%的企業都在一定程度上采用了SSL,其中60%的企業證實了,他們的大部分流量都是經過加密的。
然而,這種增長也帶來了重大的安全挑戰:與常規請求相比,加密請求可能需要高達15倍以上的服務器資源。這就意味著,復雜的攻擊者即使利用少量流量也可以擊垮一個網站。
由于越來越多的流量都是經過加密的,SSL DDoS洪水成為了黑客越來越常用的攻擊矢量。據Radware最新的ERT報告稱,過去一年間,30%的企業都聲稱遭受了基于SSL的攻擊。
鑒于基于SSL的DDoS攻擊的威力,對希望得到充分保護的企業而言,可以防御SSL DDoS洪水的高水平防護措施是必不可少的。
必備功能3:零日防護
攻擊者在不斷尋找新的方法,繞過傳統的安全機制,并利用前所未見的攻擊方法攻擊企業。即使對攻擊特征碼做一些微小修改,黑客也能創造出手動特征碼無法識別的攻擊。這類攻擊通常被稱為“零日”攻擊。
例如,一種常見的零日攻擊就是脈沖式DDoS攻擊,在切換到另一個攻擊矢量之前,該攻擊會利用高容量攻擊的短時脈沖。這些攻擊通常會結合許多不同的攻擊矢量,依賴需要手動優化的傳統安全解決方案的企業在面對這些打了就跑的戰術時往往會陷入困境。
另一類零日攻擊是放大攻擊。放大攻擊通常會采用請求和響應包大小嚴重不對稱的通信協議。此類攻擊會將流量從不參與攻擊的第三方服務器上反射出來,放大攻擊流量,進而擊垮攻擊目標。
據Radware 2017-2018年ERT報告稱,42%的企業都遭受了脈沖式攻擊,40%的企業聲稱遭受了放大DDoS攻擊。這些趨勢說明了零日攻擊防護功能在現代DDoS防護機制中的必要性。
必備功能4:行為防護
由于DDoS攻擊變得越來越復雜,區分合法流量和惡意流量也隨之變得越來越困難。對于可以模仿合法用戶行為的應用層(L7) DDoS攻擊而言尤為如此。
許多安全廠商采用的常見機制就是基于流量閾值來檢測攻擊,并使用速率限制來限制流量峰值。然而,這是一種非常粗糙的攻擊攔截方式,因為此方法無法區分合法流量和惡意流量。在流量顯著增加的購物季等活動高峰期,這是一個非常嚴重的問題。速率限制等單一的防護機制無法區分合法流量和攻擊流量,最終會攔截合法用戶。
然而,一種可以更有效檢測并攔截攻擊的方法就是采用了解什么是正常用戶行為的行為分析技術,并攔截所有不符合這種行為的流量。這不僅可以提供更高水平的防護,而且可以實現更低的誤報率,并且不會在流量高峰期攔截合法用戶。
因此,采用了基于行為分析的檢測(和緩解)的DDoS防護措施確實是有效的DDoS防護中的必備功能。
必備功能5:詳盡的SLA
企業服務水平協議(SLA)是企業安全提供商承諾為其提供的保障。毫不夸張的說,企業安全完全取決于企業的SLA。
許多安全廠商都大肆宣揚自己的能力,但一旦到了要做出實際承諾的時候,他們的宣揚就會化為泡影。
為了確保企業能獲得安全廠商宣傳手冊上描述的所有服務,企業需要告訴安全廠商要采取切實措施,并提供詳細的SLA,其中包括對檢測、緩解和可用性指標的具體承諾。SLA必須涵蓋整個DDoS攻擊生命周期,以便確保企業在任何場景下都能得到充分的保護。
如果企業的安全提供商無法提供此類承諾,企業就應該對該廠商能否提供高質量的DDoS攻擊防護產生懷疑。這也是細粒度SLA能成為現代DDoS防護措施中必備功能的原因。
