防護組織網絡免受DDoS攻擊長久以來是一項巨大的挑戰,如今網絡犯罪正變得更加猖狂,輿論新聞也都充斥著關于DDoS攻擊、數據泄露或其他安全問題。然而,即使在如今日益猖狂的DDoS威脅下,許多組織還相信其幾年前引入的DDoS防護設備現在依然有效。在這些例子中,這些組織在用其自身的網絡做賭注。到了應該揭露一些對于DDoS誤解的時候了。
5個關于DDoS防護的常見誤解
誤解1:防火墻、IPS 或內容分發網絡能解決問題
IT基礎架構的演變以及對于第三方云的依賴早就形成一個復雜的環境,周界不復存在。諸如防火墻和IDS/IPS的傳統“周界”安全解決方案仍然是集成安全態勢的關鍵部分。然而,因為這些設備會進行網絡連接的狀態檢測,此過程容易遭受 DDoS攻擊,反而使情況惡化。
許多組織還錯誤地相信內容分發網絡(CDN)能為阻止DDoS攻擊提供解決方案。事實上,一個CDN僅可解決一個DDoS攻擊癥狀。通過吸收如此大量的數據,一個CDN實際上能將所有信息引入網絡之中。此外,大部分以CDN為基礎的DDoS防護解決方案僅專注于吸收HTTP/HTTPS DDoS攻擊,而忽略了所有其他諸如NTP/DNS的放大攻擊,此類攻擊極為常見。
誤解2:單層 DDoS 防護足以應對攻擊
由于現在的DDoS攻擊正從使用容量、TCP 狀態枯竭和應用層攻擊向量的方向集合,業界推薦各組織使用的最佳方法是分層防護方法。
在多如潮水般的攻擊壓垮本地網絡連接或內部部署的DDoS防護系統之前,阻止這些攻擊的最佳位置是在安全提供商云的上游。并且,阻止秘密應用層攻擊的最佳位置是用戶端,因其靠近關鍵應用或服務的位置。同樣重要的是,您必須擁有由最新威脅智能感知支持的這兩個層面的智能形式交互,以阻止動態DDoS攻擊。
不幸的是,許多組織僅選擇一層防護,造成其DDoS防護解決方案不完整。
誤解3:我們有可能不會成為目標,所以值得冒險
那么,DDoS攻擊數量飛速增長主要因素有兩個:發起攻擊很容易,并且攻擊動機多樣。歷史上從未像現在這樣如此容易地發起DDoS攻擊。任何人都可以僅通過免費或向第三方付少量費用的情況下,下載自助DDoS攻擊工具,從而非常輕易地發起DDoS攻擊。而發起攻擊的成本僅為數十美元,但組織的損失可能達到數千萬美元。DDoS攻擊背后的動機多種多樣,包括不再為獲得經濟利益或由國家贊助的組織發起的DDoS攻擊。
如今,可能僅僅因為意見不合或基于某議題的政治立場或態度不同而使用多種工具或服務來發起DDoS攻擊。更糟糕的是,如果您的服務基于共享云環境,即便您不是DDoS攻擊的目標,也可能遭受相關損害。所以您應捫心自問:“我真的那么幸運嗎?”
誤解4:DDoS攻擊的影響不值得防護系統的增加成本
DDoS攻擊的影響會顯而易見并且十分嚴重。事實上,許多組織并未進行有效的風險及應對措施分析,從而無法為其購買DDoS防護解決方案提供可靠依據。當然,算出盈利服務停機成本可能很簡單;但您是否全面考慮過其他DDoS攻擊的相關成本?
許多間接成本常常被人們忽略,比如SLA信貸、法律/管理費用、品牌形象維護的公關成本、客戶流失等等。甚至在一些記錄在冊的案例中,有高管或董事會成員因為對阻止DDoS攻擊及其他威脅未作充足準備而被解雇。
誤解5 – DDoS攻擊并非高端威脅
確實,就技術而言,DDoS攻擊本身可能并不高端。然而,最近對僵尸網絡和DDoS攻擊的研究結果表明,它們實際上與使用惡意軟件、RAT的高級威脅行動關系密切。
例如,有記錄在冊的案例顯示,DDoS攻擊會出現在下述情況:
·在早期偵查階段用以測試某組織回應某種威脅的能力;
·在惡意軟件傳輸階段,用以填寫安全法醫產品日志和數據文件;用以讓已植入的惡意軟件更加難以被搜索到;
·數據提取階段用以作為轉移注意力的策略工具。
所以這就引發了一個問題:“最近這次DDoS攻擊是孤立事件,還是只針對本組織的未來高級威脅行動的一部分?”為了保險起見,強烈推薦您使用全球威脅智能感應系統,在威脅降臨之前就可積極“搜尋”危害或違規跡象。
智能、多層次DDoS保護方法應運而生
使用諸如防火墻或IPS的傳統安全解決方案存在巨大風險。您能夠承受您的關鍵應用程序無法使用的風險壓力嗎?您能夠承受某項入侵事件造成的數百萬客戶機密信息曝光的成本嗎?實際上,您非常需要使用一種集成的、多層次的DDoS防御解決方案來時刻保護您的組織。
京公網安備 11010502049343號