??

對于大多數(shù)組織而言，2020年新冠疫情的持續(xù)蔓延已經(jīng)帶來了不勝枚舉的挑戰(zhàn)，但可悲的是，網(wǎng)絡(luò)犯罪分子似乎總是渴望通過“加重痛苦”的方式來獲得人們的關(guān)注。2020年中下旬，Imperva公司調(diào)查發(fā)現(xiàn)，針對全球成千上萬大型企業(yè)組織的勒索拒絕服務(wù)(RDoS，即勒索+分布式拒絕服務(wù))攻擊已顯著增加。在RDoS活動(dòng)中，網(wǎng)絡(luò)犯罪分子會(huì)針對目標(biāo)網(wǎng)絡(luò)發(fā)動(dòng)分布式拒絕服務(wù)(DDoS)攻擊，進(jìn)而對其進(jìn)行威脅勒索，直至該目標(biāo)企業(yè)支付贖金為止。這些威脅釋放了一個(gè)更嚴(yán)峻、更令人不安的征兆：網(wǎng)絡(luò)級(jí)和應(yīng)用層攻擊的規(guī)模和頻率正在呈現(xiàn)前所未有的增加趨勢。

DDoS攻擊的規(guī)模和復(fù)雜度不斷提高

Imperva研究實(shí)驗(yàn)室發(fā)現(xiàn)，在過去的10個(gè)月中，網(wǎng)絡(luò)犯罪分子針對其客戶的DDoS攻擊數(shù)量(無論是規(guī)模、數(shù)量還是強(qiáng)度)都在顯著增加。2020年7月，Imperva公司報(bào)告了規(guī)模和范圍強(qiáng)大的網(wǎng)絡(luò)攻擊動(dòng)態(tài)，而在用一個(gè)月，它還報(bào)告了一項(xiàng)最高的每秒數(shù)據(jù)包攻擊記錄，具體為139 MPPS。2020年8月，最大的帶寬攻擊記錄為每秒696Gbit。盡管2020年9月的網(wǎng)絡(luò)攻擊沒有達(dá)到這些峰值，但也接近了2020年迄今為止DDoS風(fēng)險(xiǎn)最高的月份。這些全球DDoS攻擊的頻率和強(qiáng)度已經(jīng)超過了2019年11月(假日購物高峰期)的水平。

由于分布在全球各地的“僵尸軍團(tuán)”中的大量計(jì)算機(jī)正在試圖使用虛假流量淹沒服務(wù)器，以使其離線脫機(jī)，因此DDoS攻擊要遠(yuǎn)比一臺(tái)計(jì)算機(jī)實(shí)施的拒絕服務(wù)(DoS)攻擊更具破壞性。然而，近年來，我們又注意到了一個(gè)令人不安的趨勢：DDoS攻擊成為轉(zhuǎn)移人們注意力的“煙幕”——服務(wù)中斷將IT團(tuán)隊(duì)的注意力從單獨(dú)的、更復(fù)雜的網(wǎng)絡(luò)入侵行為(例如帳戶接管或網(wǎng)絡(luò)釣魚)中轉(zhuǎn)移。

僅僅是DDoS的破壞就已經(jīng)足夠嚴(yán)重了。有針對性的攻擊活動(dòng)，往往只需幾分鐘就能輕松瓦解目標(biāo)網(wǎng)絡(luò)，而要恢復(fù)正常運(yùn)行則要花費(fèi)數(shù)小時(shí)甚至更久。實(shí)際上，調(diào)查數(shù)據(jù)顯示，有91%的組織由于DDoS攻擊而遭受了停機(jī)，平均每次停機(jī)對組織帶來的損失高達(dá)30萬美元。而除了直接的收入損失外，DDoS攻擊還會(huì)影響客戶信任度，迫使企業(yè)賠償用戶大量違約金，并造成長期聲譽(yù)損失，尤其是在導(dǎo)致其他違規(guī)行為的情況下。

成功抵御DDoS的七個(gè)要素

由于許多組織正在新冠疫情的陰霾下苦苦掙扎，而成為網(wǎng)絡(luò)攻擊的受害者可能是壓垮駱駝的最后一根稻草。面對這種情況，進(jìn)行全面的防御是必不可少的，但是從大規(guī)模的網(wǎng)絡(luò)攻擊到復(fù)雜而持久的應(yīng)用層威脅，組織需要考慮的潛在解決方案的最重要因素是什么?

1. 緩解方案的服務(wù)等級(jí)協(xié)議(SLA)

當(dāng)幾秒鐘的停機(jī)時(shí)間可能會(huì)對組織業(yè)務(wù)帶來損害時(shí)，緩解時(shí)間(time to mitigation，簡稱TTM，即第一個(gè)DDoS數(shù)據(jù)包攻擊系統(tǒng)與DDoS緩解系統(tǒng)開始清理傳入流量之間的時(shí)間)是至關(guān)重要的考慮因素。企業(yè)組織應(yīng)該尋找一種解決方案，該解決方案的服務(wù)等級(jí)協(xié)議(SLA)可以確保在幾秒內(nèi)緩解任何DDoS攻擊——而不僅僅是簡單的攻擊媒介。

2. 技術(shù)能力

企業(yè)組織需要采用專門針對每種類型的DDoS攻擊量身定制的技術(shù)。例如，可以通過機(jī)器學(xué)習(xí)對流量進(jìn)行概要分析，并根據(jù)行為模式變化定義和更新相關(guān)DDoS安全策略的技術(shù)，以阻止容量耗盡攻擊(volumetric attack，即使用不需要的請求淹沒受害者的系統(tǒng))以及協(xié)議攻擊(利用傳輸層)。這可以與威脅研究算法相結(jié)合，作為多階段實(shí)時(shí)緩解過程的一部分，以解決可疑活動(dòng)。

3. 操作簡便

考慮到在確保業(yè)務(wù)連續(xù)性方面的作用，DDoS防護(hù)的實(shí)施和操作不應(yīng)該太過繁瑣笨拙。如果DDoS防護(hù)軟件的操作過于復(fù)雜，企業(yè)組織將無法把握住那短暫且珍貴的緩解時(shí)間(TTM)，以致于可能將承受網(wǎng)絡(luò)攻擊帶來的巨大損失。

4. 網(wǎng)絡(luò)設(shè)置

DDoS防護(hù)可以是始終不間斷的操作，也可以是按需保護(hù)，即僅在發(fā)生網(wǎng)絡(luò)攻擊時(shí)才激活。不過，無論緩解措施是自動(dòng)觸發(fā)還是通過人工觸發(fā)，廣泛的連接選項(xiàng)也是使組織能夠順利適應(yīng)自身拓?fù)涞年P(guān)鍵。

5. 地理分布

全面的地理覆蓋至關(guān)重要。企業(yè)組織需要尋求具有全球DDoS清理中心網(wǎng)絡(luò)以及范圍廣泛的直接對等(Peering)協(xié)議和Tier 1傳輸運(yùn)營商的供應(yīng)商進(jìn)行合作。這樣一來，無論數(shù)據(jù)中心和/或云資產(chǎn)的位置在哪里，企業(yè)組織都可以獲得最快速的保護(hù)服務(wù)。

6. 高效可操作化的緩解方案

DDoS防護(hù)就是快速分析、識(shí)別和緩解惡意流量。流量信息是關(guān)鍵要素，所以靈活的訪問方式至關(guān)重要。在全天候在線運(yùn)營的情況下，解決方案需要實(shí)時(shí)采樣和分析不斷流動(dòng)的數(shù)據(jù)流量。這些信息不僅用于網(wǎng)絡(luò)攻擊檢測，還用于更細(xì)粒度的流量分析，當(dāng)識(shí)別DDoS“煙幕”和潛在攻擊時(shí)，可以幫助提供重要的“全局”視圖。

7. 整合

原生API功能是現(xiàn)代DDoS保護(hù)系統(tǒng)的關(guān)鍵要素。例如，通過與安全信息和事件管理(SIEM)平臺(tái)的原生整合，可以將安全信息和事件實(shí)時(shí)捕獲、保留和傳遞到所選的SIEM應(yīng)用程序中，通過該應(yīng)用程序可以在更廣泛的上下文中更為輕松地訪問和查看這些信息。

通過在DDoS防護(hù)策略中考慮這七個(gè)要素，企業(yè)組織可以積極主動(dòng)地抵御這些日趨嚴(yán)重的網(wǎng)絡(luò)攻擊。

本文翻譯自：https://www.information-age.com/seven-elements-successful-ddos-defence-123492675/如若轉(zhuǎn)載，請注明原文地址。