隨著黑客們隱藏自己的手段愈發(fā)高明、攻擊招式更為兇狠，各行各業(yè)的安全領(lǐng)導(dǎo)者們需要盡快做好準(zhǔn)備。

如果向全國各大主要銀行的CSO們詢問近幾個(gè)月來所遭遇過的分布式拒絕服務(wù)攻擊（簡稱DDoS），他們一定會三緘其口。沒錯(cuò)，保持沉默正是安全人士的首選態(tài)度。

安全高管們從不愿意談?wù)撨@些攻擊活動，因?yàn)樗麄儾幌Ｍ约旱难哉撌蛊髽I(yè)受到更多關(guān)注。他們甚至擔(dān)心光是提供防御策略的基本信息就足以吸引攻擊者前來并找到安全漏洞。

但很多企業(yè)在初次受到攻擊時(shí)就已經(jīng)發(fā)現(xiàn)端倪，而安全管理者也需要針對惡意攻擊是否還將卷土重來給出答案。因此盡管CSO們不愿多談，但我們?nèi)匀幌Ｍ芰私馑麄兊奶幚響B(tài)度。為了避免意外的麻煩，我們以不具名的形式轉(zhuǎn)述幾位CSO在工作中所親歷的情況，并探討原先一直奏效的安全策略為何最終折戟沉沙。

DDoS攻擊在過去幾年中的兇猛程度可謂史無前例，黑客行動主義者們清楚，金融服務(wù)網(wǎng)站一旦停機(jī)意味著每分鐘都將造成數(shù)百萬美元的業(yè)務(wù)損失。曾針對美國銀行、第一資本金融公司、大通銀行、花旗銀行、PNC銀行以及富國銀行的攻擊可謂冷酷無情而又精妙復(fù)雜，使得眾多安全高管甚至畏懼到不敢對細(xì)節(jié)進(jìn)行深入討論。

“這些DDoS攻擊活動已經(jīng)成為非常敏感的話題，我們現(xiàn)在無法進(jìn)行公開討論，”某家太平洋西北部地區(qū)中型銀行的CISO如是說。

“企業(yè)通信部門目前禁止我們與媒體探討具體情況，高調(diào)聲張可能會導(dǎo)致公司成為更多攻擊者的關(guān)注目標(biāo)，”某位美國東南部金融服務(wù)企業(yè)的安全負(fù)責(zé)人表示。

盡管二次世界大戰(zhàn)的宣傳海報(bào)曾經(jīng)道出“言多必失”這一真理，但“知識就是力量”同樣是不容置疑的箴言，在現(xiàn)代業(yè)務(wù)技術(shù)系統(tǒng)的保護(hù)方面更是如此。毫無疑問，作為一位新興銀行組織的首席信息安全官，在遭遇首輪攻擊后選擇避而不談絕對有失水準(zhǔn)。面對安全威脅，大家需要的是暢通的信息、新型攻擊資料以及防御體系發(fā)展趨勢，而這一切都需要良好的交流環(huán)境。

有人認(rèn)為，監(jiān)管部門、公共部門以及金融機(jī)構(gòu)之間長期以來的緊張關(guān)系至少應(yīng)該為網(wǎng)絡(luò)安全事故承擔(dān)一部分責(zé)任，因?yàn)槠髽I(yè)正是由于這種矛盾而往往選擇大事化小、小事化了。

“推動協(xié)作與信息共享進(jìn)程的最佳途徑在于確保機(jī)構(gòu)之間能夠順利交流關(guān)于成功與失敗的任何信息，同時(shí)不會引發(fā)后續(xù)風(fēng)波。如果一家機(jī)構(gòu)在提交了攻擊活動報(bào)告后，監(jiān)管部門反倒第一個(gè)跳出來準(zhǔn)備進(jìn)行處罰，那么沒人會愿意再把安全情況放到桌面上來談，”安永會計(jì)師事務(wù)所信息安全咨詢服務(wù)主管ChipTsantes指出。

談到最近興起的一股股DDoS攻擊波瀾，是否有能力識別出攻擊活動并迅速組織威脅應(yīng)對手段成為決定事故結(jié)果的關(guān)鍵性因素。做到這兩點(diǎn)，企業(yè)就能保持自己的服務(wù)持續(xù)可用；一旦失敗，服務(wù)將只能被迫下線。

“最近這些DDoS攻擊發(fā)展勢頭非常迅猛，每次出現(xiàn)的新攻擊都采取與之前不同的實(shí)施策略，”IBM公司財(cái)務(wù)部門安全戰(zhàn)略專家LynnPrice表示。從本質(zhì)上講，攻擊者的策略旨在提高自身攻擊能力，借助先進(jìn)的基礎(chǔ)設(shè)施與應(yīng)用程序指向工具并實(shí)現(xiàn)攻擊活動的自動化進(jìn)行。

“他們的攻擊能力越來越復(fù)雜且難以捉摸，安全人員甚至很難發(fā)現(xiàn)到底哪些IT堆棧成為其攻擊目標(biāo)，”她解釋道。

在這種環(huán)境下，保持沉默幾乎成了一種協(xié)助犯罪行為。因此盡管CSO們對于分享信息采取“非暴力不合作”態(tài)度，我們?nèi)匀辉O(shè)法通過一些內(nèi)幕會議及采訪活動收集到一部分資料，借以了解安全專家原先是如何幫助這些受害企業(yè)構(gòu)建防御機(jī)制的。通過這樣的方式，我們?yōu)楦魑蛔x者朋友總結(jié)出以下應(yīng)對DDoS攻擊的訣竅。#p#

為實(shí)時(shí)防御調(diào)整做好準(zhǔn)備

“這些攻擊不僅指向多個(gè)目標(biāo)，其具體戰(zhàn)術(shù)也在實(shí)時(shí)進(jìn)行改變，”Arbor網(wǎng)絡(luò)美國公司解決方案架構(gòu)師GarySockrider表示。攻擊者們會觀察站點(diǎn)的響應(yīng)情況，并在站點(diǎn)重新上線之后立即組織新的攻擊方式。

“他們絕不會半途而廢，嘗試不同端口、不同協(xié)議或者從新的源頭實(shí)施攻擊，總之他們不達(dá)目的誓不罷休。戰(zhàn)術(shù)總是處于變化之中，”他指出。“企業(yè)用戶必須理解對手的這種快速靈活特性，并為之做好準(zhǔn)備。”

不要僅僅依靠內(nèi)部防御機(jī)制

在與所有采訪對象的交流中，我們發(fā)現(xiàn)傳統(tǒng)的內(nèi)部安全體系——防火墻、入侵防御系統(tǒng)以及負(fù)載均衡機(jī)制——都無法阻止攻擊活動。

“我們親眼見證這些設(shè)備在攻擊面前被一一摧毀。得到的教訓(xùn)非常簡單：只有在攻擊真正抵達(dá)這些設(shè)備前就加以扼制，我們才能真正緩和DDoS危機(jī)。安全設(shè)備同樣存在漏洞，其漏洞之多與我們想要保護(hù)的服務(wù)器本身并無二致，”Sockrider解釋稱。為了實(shí)現(xiàn)更理想的防御效果，我們必須依賴上游網(wǎng)絡(luò)運(yùn)營商或托管安全服務(wù)供應(yīng)商們的支持，他們的協(xié)助能將攻擊活動阻隔在網(wǎng)絡(luò)體系之外。

當(dāng)面對大規(guī)模攻擊時(shí)，從上游開始抵御攻擊就顯得更加重要。

“如果我們的互聯(lián)網(wǎng)連接只能承載10GB數(shù)據(jù)傳輸量，而攻擊活動卻帶來100GB傳輸量，那么希望將其降低至10GB的任何努力都將是徒勞的，因?yàn)樯嫌螌?dǎo)入的信息總量已經(jīng)注定了服務(wù)崩潰的悲慘命運(yùn)，”Sockrider總結(jié)道。

在內(nèi)部撲滅應(yīng)用程序?qū)庸?/strong>