每天，網(wǎng)絡(luò)攻擊者們都在不斷的試圖破壞企業(yè)的應(yīng)用程序并竊取相關(guān)數(shù)據(jù)信息，這無(wú)疑讓您企業(yè)的數(shù)據(jù)中心基礎(chǔ)設(shè)施處在了一個(gè)被瞄準(zhǔn)攻擊的靶心上。而鑒于數(shù)據(jù)中心存儲(chǔ)著您企業(yè)最有價(jià)值和最明顯的資產(chǎn)——包括您企業(yè)的網(wǎng)絡(luò)、DNS、數(shù)據(jù)庫(kù)和電子郵件服務(wù)器，故而數(shù)據(jù)中心已然成為了網(wǎng)絡(luò)罪犯、黑客行動(dòng)者和某些國(guó)家資助的攻擊者的頭號(hào)攻擊目標(biāo)。

在本文中，我們將為廣大讀者諸君共同分析當(dāng)前企業(yè)數(shù)據(jù)中心所面臨的最危險(xiǎn)的五大安全威脅，即：

1、DDoS攻擊

2、Web應(yīng)用程序攻擊

3、DNS基礎(chǔ)設(shè)施：攻擊目標(biāo)及其附帶的損害

4、SSL引發(fā)的安全盲點(diǎn)

5、暴力和弱認(rèn)證

本文介紹了這些安全威脅所帶來(lái)的影響，并進(jìn)一步為讀者們介紹了攻擊者們所采用的用以竊取數(shù)據(jù)中心資源的最新的方法、工具和技術(shù)。最后，文章還規(guī)劃制定出了一套框架，以幫助數(shù)據(jù)中心管理人員利用今天在絕大多數(shù)數(shù)據(jù)中心已經(jīng)存在的技術(shù)，來(lái)緩解這些安全威脅。

1)DDoS攻擊

服務(wù)器是分布式拒絕服務(wù)(DDoS)攻擊的首要目標(biāo)，并且它們正越來(lái)越多地逐漸升級(jí)為用于破壞和禁用基本互聯(lián)網(wǎng)服務(wù)的攻擊武器。雖然Web服務(wù)器成為DDoS攻擊的接收端已經(jīng)多年了，但攻擊者們現(xiàn)在正利用Web應(yīng)用程序的漏洞將Web服務(wù)器變成“機(jī)器人”。一旦攻擊者起草了未覺(jué)察的Web服務(wù)器到他們的虛擬軍隊(duì)，就可以使用這些服務(wù)器攻擊其他網(wǎng)站。

通過(guò)利用Web，DNS和NTP服務(wù)器，攻擊者可以擴(kuò)大DDoS攻擊的規(guī)模和強(qiáng)度。雖然服務(wù)器不會(huì)取代傳統(tǒng)的基于PC的僵尸網(wǎng)絡(luò)，但其所具備的更大的計(jì)算能力和帶寬，使他們能夠執(zhí)行毀滅性的攻擊，從而使得一臺(tái)服務(wù)器可以等同于數(shù)百臺(tái)PC的攻擊力。

隨著從服務(wù)器發(fā)起的DDoS攻擊越來(lái)越多，使得在過(guò)去幾年中，DDoS攻擊的規(guī)模急劇增長(zhǎng)也就并不奇怪了。事實(shí)上，在2011年到2013年間，DDoS攻擊的平均規(guī)模從4.7 Gbps上升到10 Gbps。但真正的令人震驚的是典型的DDoS攻擊中每秒平均數(shù)據(jù)包的驚人增長(zhǎng);事實(shí)上，DDoS攻擊率在2011年至2013年間猛增了1850%，達(dá)到7.8 Mpps。在2014年，DDoS攻擊達(dá)到了37 Mpps;而在2015年則達(dá)到175 Mpps。即使數(shù)據(jù)包速率沒(méi)有急劇上升，DDoS攻擊也將強(qiáng)大到足以使大多數(shù)標(biāo)準(zhǔn)網(wǎng)絡(luò)設(shè)備無(wú)能為力。

　　圖1、各種現(xiàn)成的攻擊工具包使得攻擊者們能夠發(fā)動(dòng)多向量的攻擊。

DDoS-for-hire(DDoS攻擊租賃)服務(wù)，通常被稱為“booters”，在過(guò)去的幾年中已經(jīng)獲得了迅速的增長(zhǎng)。網(wǎng)上有大量關(guān)于他們這方面能力宣傳的YouTube視頻和論壇帖子。盡管一些DDoS攻擊租賃偽裝成“壓力測(cè)試”服務(wù)，但仍然有許多的DDoS攻擊租賃大膽的宣稱能夠“讓敵人離線”和“消滅競(jìng)爭(zhēng)對(duì)手!”一小時(shí)只要5美元，即可提供DDoS攻擊，這些服務(wù)允許任何個(gè)人或企業(yè)組織執(zhí)行DDoS攻擊。

　　圖2：公開的booters和DDoS攻擊服務(wù)的示例

FFIEC和MAS所提供的關(guān)于DDoS保護(hù)的指南

DDoS攻擊的威脅正在不斷增長(zhǎng)，而相關(guān)的監(jiān)管機(jī)構(gòu)也已經(jīng)注意到了。例如，美國(guó)聯(lián)邦金融機(jī)構(gòu)檢查委員會(huì)(FFIEC)、新加坡金融管理局(MAS)和美國(guó)國(guó)家信用聯(lián)盟管理局(NCUA)就已經(jīng)發(fā)出了DDoS攻擊防護(hù)指南或風(fēng)險(xiǎn)警示。MAS特別指示金融機(jī)構(gòu)必須“安裝和配置足夠的設(shè)備…以便一旦攻擊被懷疑或證實(shí)，即可實(shí)時(shí)的轉(zhuǎn)移或過(guò)濾網(wǎng)絡(luò)流量。”

雖然FFIEC、MAS和NCUA的指南只覆蓋了金融業(yè)界的機(jī)構(gòu)，但攻擊者可是“不挑食的”，他們會(huì)對(duì)所有類型的企業(yè)組織機(jī)構(gòu)發(fā)起DDoS攻擊。因此，每家企業(yè)組織機(jī)構(gòu)都應(yīng)該建立起相應(yīng)的防御措施，以防止下一次的DDoS攻擊。

2)Web應(yīng)用程序攻擊

當(dāng)網(wǎng)絡(luò)罪犯和黑客攻擊者們不忙于借助DDoS攻擊摧毀網(wǎng)站時(shí)，他們正在發(fā)起Web攻擊，如SQL注入、跨站點(diǎn)腳本(XSS)和跨站點(diǎn)請(qǐng)求偽造(CSRF)。他們努力試圖侵入應(yīng)用程序并竊取數(shù)據(jù)以獲取收益。越來(lái)越多的攻擊者瞄準(zhǔn)易受攻擊的Web服務(wù)器，并安裝惡意代碼，以將其轉(zhuǎn)換為DDoS攻擊源。

在2013年，黑客行動(dòng)者們瞄準(zhǔn)了內(nèi)容管理系統(tǒng)(CMS)，如WordPress，Joomla和Drupal以及第三方CMS插件。一旦黑客攻擊者發(fā)現(xiàn)了一個(gè)CMS的漏洞，他們就能夠在企業(yè)組織機(jī)構(gòu)修補(bǔ)其脆弱的CMS應(yīng)用程序之前，快速發(fā)現(xiàn)和利用無(wú)數(shù)的CMS站點(diǎn)。

　　圖3、攻擊Web應(yīng)用程序的動(dòng)機(jī)

CMS應(yīng)用程序不是唯一處于風(fēng)險(xiǎn)中的應(yīng)用程序。事實(shí)上，在所有的應(yīng)用程序中，目前有96%的應(yīng)用程序具有或已經(jīng)存在漏洞，并且每款應(yīng)用程序的漏洞的中位數(shù)大約為14個(gè)。今天最危險(xiǎn)的應(yīng)用程序威脅，如SQL注入和跨站點(diǎn)腳本并不是新的，但它們?nèi)匀缓苋菀讏?zhí)行，他們會(huì)產(chǎn)生致命的影響。攻擊工具，如Havij SQL注入工具，使黑客們能夠自動(dòng)化他們的攻擊過(guò)程，并迅速利用漏洞。

最近一波的對(duì)于CMS應(yīng)用程序的網(wǎng)絡(luò)攻擊浪潮也揭示了通過(guò)編寫安全代碼鎖定應(yīng)用程序的古老戰(zhàn)略的一個(gè)空白。由于CMS應(yīng)用程序通常是由第三方開發(fā)，而不是由企業(yè)內(nèi)部開發(fā)的，因此企業(yè)組織不能依賴安全編碼過(guò)程來(lái)保護(hù)這些應(yīng)用程序。鑒于2013年，網(wǎng)絡(luò)攻擊所造成的安全漏洞占到了當(dāng)年全部安全漏洞的35%，故而現(xiàn)如今的企業(yè)組織比以往任何時(shí)候都更需要主動(dòng)防御，來(lái)阻止網(wǎng)絡(luò)攻擊和“虛擬補(bǔ)丁”的漏洞。

3)DNS基礎(chǔ)設(shè)施：攻擊目標(biāo)和附帶損害

DNS服務(wù)器成為頂級(jí)攻擊目標(biāo)的可疑區(qū)別有兩個(gè)原因。首先，讓DNS服務(wù)器下線對(duì)攻擊者而言是一種阻止數(shù)千或數(shù)百萬(wàn)互聯(lián)網(wǎng)用戶訪問(wèn)的一種簡(jiǎn)單方法。如果攻擊者侵入了ISP的DNS服務(wù)器，它們可以通過(guò)解析域名、訪問(wèn)網(wǎng)站、發(fā)送電子郵件和使用其他重要的互聯(lián)網(wǎng)服務(wù)阻止ISP的訂戶。 DNS攻擊所導(dǎo)致的影響可以使服務(wù)提供商的DNS服務(wù)停機(jī)數(shù)小時(shí)甚至數(shù)天，在極端情況下甚至導(dǎo)致訂戶的集體訴訟。

第二，攻擊者可以利用DNS服務(wù)器來(lái)擴(kuò)大DDoS攻擊。在DNS反射攻擊的情況下，攻擊者欺騙或冒充他們真正的攻擊目標(biāo)的IP地址。發(fā)送查詢，指示DNS服務(wù)器遞歸查詢?cè)S多的DNS服務(wù)器;或向受害者發(fā)送大量響應(yīng)。因此，強(qiáng)大的DNS服務(wù)器將淹沒(méi)受害者的網(wǎng)絡(luò)與DNS流量。

即使DNS服務(wù)器不是攻擊的最終目標(biāo)，他們?nèi)匀豢赡苡捎贒NS反射攻擊而發(fā)生宕機(jī)和停機(jī)。鑒于DNS占到了所有DDoS攻擊的8.95%，托管DNS服務(wù)器的企業(yè)組織必須保護(hù)其DNS基礎(chǔ)設(shè)施。

4)SSL引發(fā)的安全盲點(diǎn)

為了防止其網(wǎng)絡(luò)中的惡意軟件和連續(xù)的入侵流量，企業(yè)需要檢查入站和出站流量的安全威脅。不幸的是，攻擊者越來(lái)越轉(zhuǎn)向加密以逃避檢測(cè)。隨著越來(lái)越多的應(yīng)用程序支持SSL——事實(shí)上，超過(guò)40%的應(yīng)用程序可以使用SSL或更改端口——SSL加密不僅僅是企業(yè)眾所周知的盔甲上的縫隙，而且還能夠成為惡意攻擊者可以利用的巨大的彈坑。

雖然業(yè)界對(duì)于SSL的使用已經(jīng)穩(wěn)步上升多年了，但2013年六月所爆發(fā)的愛(ài)德華·斯諾登事件則激勵(lì)了更多的企業(yè)采用。在斯諾登透露了美國(guó)國(guó)家安全局窺探公民的丑聞之后，人們對(duì)于隱私問(wèn)題的關(guān)注度飆升。因此，無(wú)數(shù)網(wǎng)站(從搜索引擎、社交媒體和文件分享到博客網(wǎng)站)現(xiàn)在都已啟用了SSL版本的網(wǎng)站，而某些網(wǎng)站(如Google)僅支持SSL。不僅僅是為了信用卡交易，SSL已經(jīng)變得無(wú)處不在。

雖然許多防火墻，入侵防御和安全威脅防護(hù)產(chǎn)品可以解密SSL流量，但它們無(wú)法跟上不斷增長(zhǎng)的SSL加密需求。由NIST特殊出版物800-131A所推動(dòng)的從1024位到2048位SSL密鑰的轉(zhuǎn)換已經(jīng)加重了安全設(shè)備的負(fù)擔(dān)，因?yàn)?048位證書需要大約6.3倍的處理能力來(lái)解密。隨著SSL證書密鑰長(zhǎng)度的不斷增加，以及4096位密鑰長(zhǎng)度占到一家證書頒發(fā)機(jī)構(gòu)的所有證書的20%，許多安全設(shè)備在這些增加的解密要求下崩潰。

對(duì)于端到端安全性，企業(yè)組織需要檢查源自內(nèi)部用戶的出站SSL流量和源自外部用戶到企業(yè)自有應(yīng)用程序服務(wù)器的入站SSL流量，以消除企業(yè)防御中的盲點(diǎn)。NSS實(shí)驗(yàn)室在其報(bào)告的SSL性能問(wèn)題中發(fā)現(xiàn)，解密2048位加密流量時(shí)，八家領(lǐng)先的下一代防火墻供應(yīng)商的性能明顯下降。這使得NSS實(shí)驗(yàn)室斷言這使得“對(duì)企業(yè)網(wǎng)絡(luò)中SSL檢查的可行性的關(guān)注的增加，而不使用專用的SSL解密設(shè)備”。如果安全設(shè)備的范圍不能滿足不斷增長(zhǎng)的SSL加密需求，那么企業(yè)組織需要一款高性能的解決方案，攔截和解密SSL流量，從安全設(shè)備和服務(wù)器卸載密集的SSL處理。

5)暴力和弱認(rèn)證

應(yīng)用程序經(jīng)常使用身份驗(yàn)證來(lái)驗(yàn)證用戶的身份。借助身份驗(yàn)證，應(yīng)用程序所有者可以限制授權(quán)用戶的訪問(wèn)，并且他們可以根據(jù)用戶的身份自定義內(nèi)容。不幸的是，許多應(yīng)用程序所有者僅執(zhí)行單因素認(rèn)證，基于密碼的身份驗(yàn)證。使用弱單因素身份驗(yàn)證，應(yīng)用程序所有者面臨著大量的安全威脅，從簡(jiǎn)單的密碼猜測(cè)和身份憑證被盜到高度自動(dòng)化的暴力攻擊的密碼破解工具。

對(duì)大規(guī)模的密碼破解(例如，Adobe服務(wù)器曾經(jīng)被黑，導(dǎo)致3800萬(wàn)用戶的密碼被泄露)的分析揭示了簡(jiǎn)單的單因素身份驗(yàn)證的局限性。研究人員發(fā)現(xiàn)許多用戶選擇相同的常見(jiàn)密碼，例如“123456”和“password”。事實(shí)上，RockYou漏洞泄密事件中所記錄的50%的密碼所包括的名稱、詞典中的單詞或復(fù)雜的密碼都是基于鍵盤上的相鄰的按鍵，并且最常見(jiàn)的100個(gè)密碼中，由40%的密碼是被用戶所經(jīng)常選擇的。

除了簡(jiǎn)單密碼的風(fēng)險(xiǎn)，許多用戶為多個(gè)帳戶選擇使用相同的密碼。不幸的是，當(dāng)這些帳戶之一作為數(shù)據(jù)泄露的一部分而受到入侵時(shí)，共享相同密碼的所有其他帳戶都將面臨風(fēng)險(xiǎn)。在發(fā)生泄露的幾個(gè)小時(shí)內(nèi)，黑客會(huì)竊取密碼列表——甚至密碼哈希，并使用它們?nèi)肭制渌诰€帳戶。

雙因素認(rèn)證可以大大降低密碼被破解的風(fēng)險(xiǎn)。組合密碼與外的帶認(rèn)證，如短信到移動(dòng)設(shè)備或與硬件令牌或軟件令牌大大降低了暴力破解或密碼破解的風(fēng)險(xiǎn)。此外，用戶上下文，如用戶的瀏覽器和操作系統(tǒng)或用戶的地理位置，可以幫助識(shí)別欺詐活動(dòng)。應(yīng)用程序所有者可以構(gòu)建高級(jí)規(guī)則來(lái)識(shí)別高風(fēng)險(xiǎn)用戶或密碼破解工具，以保護(hù)用戶帳戶。

對(duì)于許多企業(yè)組織而言，簡(jiǎn)單地跨許多不同的Web應(yīng)用程序推出和管理認(rèn)證可能是相當(dāng)艱巨的。為數(shù)十款應(yīng)用程序設(shè)置客戶端認(rèn)證方案需要昂貴和耗時(shí)的開發(fā)工作。因此，企業(yè)組織需要一款集成式的解決方案，以集中管理身份驗(yàn)證服務(wù)，并可以阻止登錄失敗的用戶嘗試重復(fù)登錄。

保護(hù)您企業(yè)的服務(wù)器和應(yīng)用程序免受五大數(shù)據(jù)中心的安全威脅

為了屏蔽數(shù)據(jù)中心的基礎(chǔ)設(shè)施免受安全攻擊，企業(yè)組織需要一套解決方案，以減輕多種安全威脅向量，并與此同時(shí)仍然提供無(wú)與倫比的性能。應(yīng)用程序交付控制器(ADC)可以幫助企業(yè)組織機(jī)構(gòu)保護(hù)其數(shù)據(jù)中心基礎(chǔ)設(shè)施。ADC部署在數(shù)據(jù)中心的核心，可以阻止攻擊，攔截和檢查加密的流量，防止未經(jīng)授權(quán)的應(yīng)用程序訪問(wèn)。

鑒于惡意用戶越來(lái)越多地將他們的攻擊目標(biāo)瞄準(zhǔn)數(shù)據(jù)中心的服務(wù)器，ADC可以提供最佳的保護(hù)以應(yīng)對(duì)數(shù)據(jù)中心的安全威脅。下一代的ADC則提供了以下的針對(duì)數(shù)據(jù)中心基礎(chǔ)設(shè)施的威脅防御措施：

企業(yè)組織應(yīng)仔細(xì)評(píng)估ADC的安全特性，以確保它們能夠有效地幫助緩解數(shù)據(jù)中心的安全風(fēng)險(xiǎn)。

結(jié)論

網(wǎng)絡(luò)攻擊者們已經(jīng)將他們的目標(biāo)投向了數(shù)據(jù)中心。無(wú)論是追求經(jīng)濟(jì)收益，競(jìng)爭(zhēng)情報(bào)，毀壞企業(yè)聲譽(yù)，還是其他誘因，他們都將把攻擊的注意力集中在數(shù)據(jù)中心服務(wù)器和應(yīng)用程序上。為了進(jìn)行他們的攻擊，攻擊者們將：

利用現(xiàn)成的工具包，自動(dòng)化技術(shù)和機(jī)器人發(fā)起毀滅性的DDoS攻擊

目標(biāo)Web和DNS服務(wù)器，不僅竊取和操縱數(shù)據(jù)，而且還將這些服務(wù)器轉(zhuǎn)換成武器以釋放強(qiáng)大的DDoS攻擊

使用SSL加密隱藏來(lái)自安全設(shè)備的攻擊，暴露公司防御中的盲點(diǎn)

利用弱認(rèn)證控制來(lái)破壞用戶帳戶

企業(yè)組織機(jī)構(gòu)需要一套解決方案，以防御這些針對(duì)其數(shù)據(jù)中心的安全威脅。如果他們忽略了這些安全威脅，則可能會(huì)遭致數(shù)據(jù)泄露，停機(jī)中斷甚至企業(yè)品牌聲譽(yù)受損。由于數(shù)據(jù)中心承載了企業(yè)的關(guān)鍵應(yīng)用程序和數(shù)據(jù)，故而企業(yè)組織必須保護(hù)這些資產(chǎn)免受攻擊和濫用。