散落在房子里、吸引人的萬圣節糖果只意味著一件事:今年又到了零售商為黑色星期五熙熙攘攘的假日購物者準備商店(包括實體店和網店)的時候了。
據說,黑色星期五來源于19世紀末期發生在費城的一次事件。零售商Wanamaker百貨公司決定以極優惠的價格售賣印花棉布,這是當時制衣過程中最常用的織物。被超低價印花棉布吸引蜂擁而至的購物者最終擠破了商店前門的玻璃櫥窗,使得商店被迫關閉。毫無疑問,商店的關閉讓Wanamaker損失了很多生意。
眾所周知,這種情況并不是Wanamaker所特有的,在假日購物熱潮中,顧客的需求也會激增。每逢黑色星期五或網絡星期一的閃電購物,維護網絡和應用可用性已經成為零售商一年一度的固定工作。一般而言,期間的風險遠高于1890年Wanamaker事件。ComScore稱,去年網絡星期一的銷售額達到了30億美元,11月的銷售額接近300億美元。Ponemon研究所的評估數據顯示,企業一分鐘的宕機成本就超過2萬美元,但如果考慮到購物高峰期的集中銷售額,網絡星期一的重要性更高。
例如,2014年的黑色星期五,零售商百思買集團遭遇了數小時的業務中斷,據報道,流量峰值是由移動設備生成的。由于可用的信息有限,很難確定此次宕機是由一波又一波的合法客戶造成的還是網絡安全攻擊產生的惡意流量引發的。
可以確定的是,過去幾周發生了很多真實且讓人震驚的有關被入侵設備的例子,這些設備可以發起足以擊垮大型網絡和運營商的攻擊。
近期的DDoS攻擊只是證明了要百分之百確保用戶免受攻擊侵擾的是多么具有挑戰性。但DDoS等威脅的提升并不能作為沒有做好充足準備的借口。當IT和安全專家只是說他們的防御是希望自己不會遭到攻擊時,情況就變得讓人遺憾了。正如他們所言:“希望并不是策略。”
好消息是,仍有一些能夠應對最新攻擊發展的措施可供企業選擇,以確保企業的安全運營。
效果顯著但卻不易實現的措施是如何有效區分合法流量和惡意流量。打個比方,在流量類型和客戶群之間畫一條平行線。假設您有一個可以在全天不同時段滿足不同人群需求的餐廳。白天,顧客通常是中年全職媽媽或外出吃快餐的商務人士。晚上,顧客群明顯變得更年輕,有在鎮上閑逛的青少年群體或是在少年棒球聯盟賽結束后與父母一起來的小孩子。這些來到餐館的客戶類型就是你的流量基線,代表了客戶群的正常行為。
當提及利用行為分析技術檢測惡意的網絡或應用流量(包括潛在攻擊)時,也會使用類似的原理。當流量類型(如SYN)在總體流量中占比出現異常時,行為分析引擎就會啟動。如果在同一時間SYN流量總體速率超出了正常速率,高級安全解決方案就會將其認定為攻擊,并攔截這一異常行為。
再以上述的餐館為例。如果在中午出現比例不尋常的年輕客戶,您可能需要加以關注。如果這些客戶的人數變的很多,甚至到了可能會耗盡必要資源(如年輕人喜愛的意大利面)的地步,那么您就要采取相應的解決辦法了。
遺憾的是,并不是所有針對應用或網站的攻擊類型都可以用這種方式檢測出來。DDoS攻擊可以被檢測出來,而更高級的攻擊卻因沒有明顯的流量模型而無法被檢測。這些攻擊使用眾多試圖利用應用代碼漏洞發起攻擊的惡意腳本,針對這類攻擊則需要不同類型的防護措施。很多這種類型的攻擊被收錄在開放Web應用安全項目(OWASP)中,防御這些攻擊通常需要Web應用防火墻(WAF)。和任何安全技術一樣,不同的WAF產品在處理能力和方法上有所不同,最近Radware還發現,許多攻擊都利用了用戶依靠IP地址確認攻擊源的這一方法所存在的局限性。幸運的是,高級WAF都在使用快速發展的設備指紋識別技術,通過各種工具和方法(包括在客戶端運行JavaScript)采集與數據源有關的、除IP之外的信息。設備指紋識別技術可以通過數十個用戶設備屬性識別Web工具實體,確認并追蹤他們的活動,生成用戶行為和聲譽資料。因此可以隨著時間推移追蹤并確認異常行為和潛在的惡意行為,進而定義設備的風險程度。
為什么前面所介紹的技術措施都很重要呢?當考慮到由機器人程序生成的流量所占的高比例(預計超過50%)時,很顯然,企業在僵尸網絡(惡意或其他)識別方面的能力還需要進一步的提升。多數的應用DDoS、暴力破解、SQL注入等重大安全威脅大部分都會通過僵尸網絡執行。僵尸網絡攻擊流量會給交易處理能力帶來不可預知的的、不必要的負擔,因此,如果能夠更加精確地成功檢測并攔截機器人程序,這將給企業帶來更好的ROI。
京公網安備 11010502049343號