防火墻和IDS/IPS在安全體系中無疑占有一席之地,它們是抵御攻擊的第一道防線,可以識別身份盜用或商業間諜等攻擊活動。但是,它們自身不足以抵御拒絕服務攻擊。實際上,它們經常成為危害網絡基礎設施的DDoS攻擊的首要攻擊目標。
安全決策常常反映的是一種“打鉤”方法:我們需要具備哪些工具?在必備清單上,防火墻等邊界防御措施往往排在前列。這種方法通常是出于合規考慮:監管者要求我們必須具備什么?經常是,組織開始安慰自己,相信只要合規就能確保安全,于是他們選擇了清單上所有的解決方案。
企業不應從清單上選擇解決方案,而是需要評估自己在DDoS威脅造成的風險中所處的階段。換句話說,“我們面對的是什么樣的DDoS風險,以及我們是否已準備好應對風險?”以下是一些可能的答案:
容量耗盡DDoS攻擊:這種類型的DDoS攻擊旨在消耗目標中或目標與互聯網其他部分之間的帶寬,它通過壓倒性的力量達到阻止服務訪問和交付的目的。這類攻擊的規模正在擴大,1T以上的攻擊正在成為新的現實。抵御這類攻擊需要具備相應容量的緩解解決方案,這是因為其絕對規模通常位于云端。
TCP狀態耗盡攻擊:這類攻擊試圖消耗許多基礎設施組件中存在的連接狀態表,例如負載均衡器、防火墻和應用服務器。即使能夠維持數百萬連接的大容量設備也可能被這類攻擊耗盡。
應用層攻擊:這類攻擊的目標是位于第七層(也被稱為應用層)的特定應用或服務,它們危害極大,因為只需要一臺生成低流量速率的攻擊設備就能產生十分有效的攻擊效果,這讓它們變得非常難以檢測和緩解。抵御這類攻擊要求設備能夠區分進入網絡的合法數據流量和經過巧妙偽裝的威脅,由于流量規模和速度都在增大,這并不容易做到。
多層、多向量攻擊:在一次持續攻擊過程中,DDoS攻擊越來越多地組合利用以上三種攻擊類別或它們的變體,這讓防御工作變得復雜而無所適從。根據最近的一次報道,智利最大銀行遭受的攻擊導致大約9500臺服務器和工作站無法使用,就其本身而言,這是一次重大的中斷事故,但事實證明這只是攻擊者發起的佯攻,從而實現自己的真正目的:通過SWIFT網絡從銀行竊取1000萬美元。
內部出站攻擊:在與防御者的較量中,經驗豐富的攻擊者正在扭轉局面,他們在企業網絡中植入惡意軟件,這些惡意軟件可用于對內部目標和外部目標發起攻擊。惡意攻擊者尤其喜歡利用物聯網設備混入企業網絡,在最近的大型攻擊中,物聯網僵尸網絡的表現非常突出。
新威脅:似乎上面的威脅還不夠多,全球范圍內持續有新威脅出現。在抵御這些威脅時要保持領先需要掌握全球威脅情報。
強有力的防御措施需要能夠應對所有威脅類型,忽略任何一個都會讓您暴露在持續的風險中。根據全球威脅情報警報并由自動化技術提供支持的混合或分層防御措施結合使用云端和本地檢測和緩解技術,被廣泛用作最佳做法。
在了解所有風險和緩解風險的成本后,安全專家可能會想到:“我們沒有預算,也沒有帶寬。”這時可以選擇NETSCOUT Arbor托管式DDoS服務:外包給為緩解任何類型的攻擊已經進行了技術和專業知識投資的提供商。這可以節省成本,充分利用內部資源并降低風險,還能讓企業不再依靠過時的安全清單。
關于作者:
徐開勇(George Tsui)NETSCOUT Arbor中國大陸和香港地區總經理
徐開勇(George Tsui)先生現任NETSCOUT Arbor中國大陸和香港地區總經理。他的主要職責包括在該地區管理和開發渠道銷售網絡,以及面向服務提供商和企業級市場制定銷售策略和市場開發計劃。加入NETSCOUT Arbor之前,他曾任英國電信公司區域總監,管理大中華區的銷售渠道業務和運營,全面負責企業損益、卓越運營以及客戶滿意度。加入英國電信公司之前,他曾在香港電訊和Infonet香港公司擔任不同的高級職務。
徐開勇先生在全球電信/ ICT行業擁有超過24年的豐富經驗,其關注領域及專長包括渠道合作伙伴/聯盟開發、銷售和商業管理。
徐開勇先生在香港辦公,擁有英國諾丁漢大學(University of Nottingham)電氣與電子工程學士學位。
京公網安備 11010502049343號