歲末年初，各行各業(yè)都在總結(jié)過(guò)去一年的成就和經(jīng)驗(yàn)教訓(xùn)?；厥讋倓傔^(guò)去的鼠年，新冠肺炎疫情當(dāng)仁不讓成為了各行各業(yè)的關(guān)鍵詞。疫情的大流行導(dǎo)致人們大規(guī)模轉(zhuǎn)移到遠(yuǎn)程工作和學(xué)習(xí)模式，并越發(fā)依賴在線服務(wù)，這就為網(wǎng)絡(luò)犯罪分子提供了更多攻擊機(jī)會(huì)。在網(wǎng)絡(luò)安全領(lǐng)域，過(guò)去一年可謂見(jiàn)證了分布式拒絕服務(wù)（DDoS）攻擊這個(gè)歷史悠久的攻擊手段的爆發(fā)。與往年相比，網(wǎng)絡(luò)犯罪分子在去年對(duì)各行業(yè)發(fā)起的DDoS攻擊在規(guī)模、頻率和復(fù)雜度上均創(chuàng)下了新高，攻擊動(dòng)機(jī)也更是別有用心。

隨著人們進(jìn)入到后疫情時(shí)代，DDoS攻擊發(fā)起者的野心恐將欲壑難填，企業(yè)需要以面對(duì)“疫情常態(tài)化”的心態(tài)來(lái)應(yīng)對(duì)“加強(qiáng)版”DDoS攻擊的常態(tài)化。Akamai智能邊緣安全平臺(tái)在去年成功抵御了包括截至目前最大帶寬和最大吞吐量在內(nèi)的數(shù)起DDoS攻擊?；诖耍挛目偨Y(jié)了Akamai平臺(tái)上觀察到的DDoS攻擊新趨勢(shì)，并提出了解決之道，旨在幫助企業(yè)在后疫情時(shí)代的安全環(huán)境中以往鑒來(lái)、更好保護(hù)自身業(yè)務(wù)發(fā)展。

攻擊規(guī)模史無(wú)前例，攻擊手段變化多端

圖一、Akamai成功幫助客戶抵御DDoS攻擊的歷史記錄

上圖中灰色部分表示帶寬——數(shù)字越大意味著被攻擊企業(yè)在互聯(lián)網(wǎng)的出入口位置受到的壓力越大；藍(lán)色部分表示吞吐量、即報(bào)文數(shù)量——數(shù)字越大意味著網(wǎng)絡(luò)設(shè)備的處理能力面臨更大壓力。由圖可見(jiàn)，過(guò)去十年間“灰藍(lán)”兩項(xiàng)指標(biāo)基本呈指數(shù)型增長(zhǎng)，增長(zhǎng)了約二十倍，而去年兩項(xiàng)指標(biāo)又再次被刷新。具體而言，2020年6月的第一周，Akamai應(yīng)對(duì)了迄今見(jiàn)到的最大規(guī)模帶寬的DDoS攻擊（灰色）。其針對(duì)的是一家互聯(lián)網(wǎng)主機(jī)提供商，主要攻擊對(duì)象共有五個(gè)IP地址，使用了ACK Flood、CLDAP反射、NTP Flood等九種不同的攻擊向量和多種僵尸網(wǎng)絡(luò)攻擊工具。這起攻擊流量來(lái)源于全球，持續(xù)了近兩個(gè)小時(shí)，最終峰值達(dá)到1.44 Tbps和385 Mpps，其中超過(guò)1 Tbps的帶寬就超過(guò)了一個(gè)小時(shí)。而上一次Akamai觀察到如此大帶寬的DDoS攻擊還是在2018年，當(dāng)時(shí)的攻擊帶寬僅為1.3 Tbps。由這起攻擊事件可見(jiàn)，攻擊者為了達(dá)到目的，非常重視DDoS攻擊技術(shù)的開(kāi)發(fā)與變化。事實(shí)上，多向量DDoS攻擊在去年非常普遍，Akamai平臺(tái)緩解的攻擊中約有33%起攻擊包含三個(gè)或更多攻擊向量，最高者為14個(gè)不同向量。

另一起破吞吐量紀(jì)錄的DDoS攻擊（藍(lán)色）發(fā)生在去年6月，目標(biāo)為一家歐洲大型銀行。Akamai觀察到，其帶寬在幾秒鐘內(nèi)從正常流量水平激增至418 Gbps，隨后在約兩分鐘內(nèi)達(dá)到809 Mpps的吞吐量峰值。整起攻擊雖持續(xù)不到十分鐘，但獨(dú)特之處在于Akamai觀察到的數(shù)據(jù)包源IP地址數(shù)量大幅增加，這意味著在攻擊期間，攻擊者向該銀行目的地注冊(cè)的源IP數(shù)量大幅增加，表明攻擊來(lái)源高度分布。Akamai觀察到的每分鐘源IP數(shù)量是通常觀察到的客戶目的地址的600倍以上。以上述兩起破紀(jì)錄的DDoS攻擊為代表的去年數(shù)起攻擊反映出，雖然某些攻擊未得逞，但攻擊者愿意花費(fèi)的成本與代價(jià)十分巨大，企業(yè)若沒(méi)有富有經(jīng)驗(yàn)的技術(shù)、人員和流程，將難以應(yīng)變，最終被擊垮。

以勒索為威脅訴求，存在魚(yú)目混珠情況

從2020年8月開(kāi)始，Akamai的部分客戶陸續(xù)收到幾個(gè)攻擊組織發(fā)來(lái)的DDoS攻擊勒索信。信中措辭與此前已公開(kāi)的勒索內(nèi)容并無(wú)二致：勒索信警告若對(duì)外曝光勒索要求，則立即發(fā)起攻擊，攻擊不但會(huì)破壞基礎(chǔ)設(shè)施，還將造成聲譽(yù)等更大影響?？梢?jiàn)勒索者精心策劃過(guò)信件內(nèi)容，希望達(dá)到“不戰(zhàn)而屈人之兵”的效果。一些勒索信注明了身份，如主要針對(duì)金融機(jī)構(gòu)進(jìn)行勒索的Fancy Bear（APT 28）和Armada Collective分別要求支付10個(gè)比特幣（時(shí)價(jià)為12萬(wàn)美元）和20個(gè)比特幣（約合24萬(wàn)美元），若超過(guò)付款期限，還會(huì)增加勒索要求。還有一些勒索信指明了攻擊目標(biāo)并威脅發(fā)起一次小的“測(cè)試”攻擊來(lái)證明情況的嚴(yán)重性以及攻擊決心。

圖二、Akamai使用信號(hào)識(shí)別山寨勒索

Akamai平臺(tái)曾觀察到一個(gè)受勒索的客戶遭到了50 Gbps的攻擊，但經(jīng)過(guò)分析，該勒索攻擊者并非信中聲稱的組織，而是利用知名攻擊組織的名聲來(lái)恐嚇企業(yè)加緊付款。而這樣的渾水摸魚(yú)勒索在去年的勒索型DDoS攻擊中更是屢見(jiàn)不鮮。上圖運(yùn)用了Akamai平臺(tái)的數(shù)據(jù)和專家的經(jīng)驗(yàn)，將勒索DDoS攻擊中的向量、所利用的漏洞等技術(shù)特征，即“攻擊信號(hào)”進(jìn)行提取，然后把該攻擊是否在平臺(tái)上出現(xiàn)過(guò)來(lái)鑒別已知和未知威脅，最終Akamai發(fā)現(xiàn)去年的勒索型DDoS攻擊并不都是信中宣稱的那些組織發(fā)起的，雖然很多人宣稱自己是某一黑客組織，但他們所使用的安全信號(hào)完全不同，有些攻擊甚至被Akamai平臺(tái)自動(dòng)攔截了。從Akamai的數(shù)據(jù)來(lái)看，真正由信中宣稱的組織發(fā)起的勒索型DDoS攻擊在所有攻擊中只占約10%；從另一個(gè)角度來(lái)說(shuō)，并不是每一起去年發(fā)生的DDoS攻擊都會(huì)告知勒索需求。

有組織全行業(yè)掃蕩，勒索難以獨(dú)善其身

總體而言，Akamai在去年發(fā)現(xiàn)北美、亞太、歐洲、中東和非洲的企業(yè)收到的勒索信日益增加。金融服務(wù)業(yè)起初是受威脅最大的行業(yè)，但隨后的勒索信又將目標(biāo)對(duì)準(zhǔn)了其他行業(yè)，波及電商、社交媒體、制造、酒店和旅游等各行各業(yè)。勒索組織進(jìn)行全行業(yè)掃描，從最有利可圖的行業(yè)入手，勒索完一個(gè)便調(diào)轉(zhuǎn)槍口對(duì)準(zhǔn)另一個(gè)行業(yè)。

圖三、Akamai統(tǒng)計(jì)的各行業(yè)遭受的DDoS攻擊情況

而攻擊最終發(fā)起的情況也反映出沒(méi)有行業(yè)能夠幸免。由上圖可見(jiàn)，去年8月前，DDoS攻擊主要針對(duì)游戲業(yè)。但從8月開(kāi)始，攻擊突然轉(zhuǎn)向金融業(yè)，隨后又?jǐn)U散至多個(gè)行業(yè)。由于疫情期間在線學(xué)習(xí)的需要，教育業(yè)在去年成為了DDoS攻擊重災(zāi)區(qū)，DDoS攻擊會(huì)使學(xué)生無(wú)課可上，產(chǎn)生非常糟糕的后果。

五大舉措應(yīng)對(duì)“新時(shí)代”的勒索型DDoS攻擊

去年很多遭到攻擊的大型企業(yè)表示勒索信被系統(tǒng)當(dāng)成垃圾郵件過(guò)濾了，因此沒(méi)有收到勒索郵件的企業(yè)并不代表能夠獨(dú)善其身。而中小型企業(yè)往往在勒索的成本與付出的安全投資之間舉棋不定?？梢源_定的是，勒索型DDoS攻擊會(huì)長(zhǎng)期存在，攻擊者正在改變和更新其攻擊手段，不斷躲避網(wǎng)絡(luò)安全從業(yè)者和執(zhí)法機(jī)構(gòu)。那么面對(duì)“新常態(tài)”下的網(wǎng)絡(luò)環(huán)境，企業(yè)該如何應(yīng)對(duì)DDoS攻擊呢？

首先，面對(duì)DDoS攻擊，企業(yè)機(jī)構(gòu)決不能妥協(xié)，不能助紂為虐。按照攻擊者的要求支付贖金既無(wú)法保證攻擊者停止攻擊，也不能確保未來(lái)不再受到其他攻擊威脅。

其次，企業(yè)機(jī)構(gòu)可以向有經(jīng)驗(yàn)的組織尋求幫助，借力專家，尋求適當(dāng)?shù)燃?jí)的咨詢與安防建議以及應(yīng)對(duì)突發(fā)情況的緊急服務(wù)。企業(yè)機(jī)構(gòu)可以以情報(bào)研判、實(shí)戰(zhàn)經(jīng)驗(yàn)、緩解能力和緩解容量四個(gè)方面作為評(píng)估標(biāo)準(zhǔn)，尋找合適的合作伙伴。

第三，DDoS攻擊在發(fā)生的那一刻，可能就已經(jīng)造成了數(shù)萬(wàn)美金的財(cái)務(wù)損失，所以，企業(yè)機(jī)構(gòu)應(yīng)該隨時(shí)準(zhǔn)備迎戰(zhàn)，結(jié)合合適的防護(hù)方案與安全合作伙伴，主動(dòng)緩解DDoS流量，讓攻擊者難有可乘之機(jī)。

第四，企業(yè)機(jī)構(gòu)應(yīng)該優(yōu)化自身安防流程和技術(shù)，改善自身安全態(tài)勢(shì)，有針對(duì)性地設(shè)立防御層次。根據(jù)自身業(yè)務(wù)形態(tài)與風(fēng)險(xiǎn)承受能力，來(lái)確定應(yīng)采用的安防形式，形成閉環(huán)，不斷優(yōu)化，從而更好地保護(hù)自身資產(chǎn)。

第五，企業(yè)機(jī)構(gòu)應(yīng)該協(xié)調(diào)好技術(shù)、流程和人員的關(guān)系，召集相關(guān)職能部門，確保準(zhǔn)備充分，了解在發(fā)生攻擊時(shí)各自應(yīng)采取何種措施。企業(yè)機(jī)構(gòu)可以定期執(zhí)行桌面演練，以確保適當(dāng)?shù)娜藛T、流程和技術(shù)都準(zhǔn)備就緒，讓投資的技術(shù)、工具都能落到實(shí)處，使價(jià)值最大化。

2020實(shí)“鼠”不易，DDoS攻擊帶來(lái)的威脅從未像現(xiàn)在這樣嚴(yán)峻。企業(yè)機(jī)構(gòu)只有做到以上五點(diǎn)，通過(guò)“人員+流程+技術(shù)”結(jié)合的方式，建立應(yīng)對(duì)DDoS攻擊的全方位安防網(wǎng)，才能有條不紊地應(yīng)對(duì)水平不斷上升的DDoS攻擊，打好DDoS反擊戰(zhàn)，在2021“牛”轉(zhuǎn)乾坤。