由于分布式拒絕服務(DDoS)攻擊的廣泛性和危害性,現在幾乎所有企業都已經認識到并開始部署強大的防御措施來監測和緩解 DDoS 攻擊。但是,并不是有了這些防御措施就可以高枕無憂。應對 DDoS 攻擊,企業還需要認真制定事件響應方案和流程,否則在防御上的所有投入很容易化為烏有。
曾有一家國際性網絡游戲公司就因此遭受到慘痛的教訓。該公司把自己托付給了一家著名的DDoS托管服務公司,認為得到了很好的保護。然而,在一個星期天,公司相關關鍵員工不在崗,一系列容量耗盡攻擊瞄準并最終攻破了它。只有少數高級別員工聯系到了DDoS服務供應商來處理事件,但不幸的是,一切都太晚了。等他們發現問題后,公司內部團隊和服務供應商還撥錯了會議電話號碼,進一步延遲了對事件的響應。結果,緩解措施生效時為時已晚,游戲服務宕機超過90分鐘。網絡游戲玩家要的是高質量、超快速的服務,不能接受無法連網,完全可能去別的游戲網站。這一事件導致這家游戲公司至少損失了100萬美元的收入。此外,還有客戶關系的受損,以及為留住這些玩家要進行的推廣等費用這些都是DDoS成功攻擊后造成的其他長期后果。
DDoS服務供應商會出現什么問題?
到底哪里出了問題?與一家著名的DDoS保護服務供應商簽署了協議后,這家安全工作人員很少的游戲公司感到很安全。他們沒有充分意識到,而且DDoS服務供應商也沒有解釋清楚的是,速度是事件響應和成功緩解威脅的關鍵因素。
安全部門從未受過培訓;也沒有針對這類不測事件進行過實踐演練。所有信息的傳遞和轉換都只是取決于某一兩個人的知識和權威。
對于DDoS攻擊,事件響應往往會滯后。那么,一個有效的事件響應流程應該是什么樣子?把它分為六步就很清楚了,需要注意的是,這六個階段不應該是線性,而應該是循環的。
第一步:準備
這可能是最困難但也是最重要的階段,因為它奠定了基礎。如果沒有充分的準備,失敗幾乎是必然的。在攻擊過程中,沒有時間去弄清楚怎么進行響應。
首先,建立團隊并分配職責。通常來說應對高級威脅是安全運營部門的責任,DDoS防御則由網絡部門負責,而不是安全部門。在攻擊期間,打破這些壁壘對于溝通至關重要。應該建立上下游關系以及溝通流程——規定誰給誰打電話,為什么等等。
第二步:識別
缺乏網絡可見性,企業就缺乏必要的信息,不知道糟糕的服務或者應用程序性能下降是DDoS攻擊數據流造成的還是網絡錯誤配置造成的。內部部署解決方案可以提供快速診斷問題所需的關鍵數據流可見性,節省IT和網絡部門寶貴的時間,同時提高性能。
第三步:分類
看到什么樣的攻擊? 了解它會怎樣繼續下去,以及需要采取什么樣的對策。
第四步:追溯
查明攻擊的來源——從何而來?它會影響哪里的網絡以及怎樣影響?這有助于辨別所看到的其他網絡問題是否與攻擊有關。
第五步:反應
在發現攻擊并進行分類和跟蹤之后,一般就能更好地準備應用最合適的緩解工具。沒有一種工具或者方法能夠適用于所有情形。最好是手邊有不同的工具包,并盡可能利用自動響應功能。
第六步:事后
分析發生了什么?學到什么?如何能做得更好?每個人都錯過了哪一步驟?下一次如何能反應更快,更輕松一些?針對發現的任何具體問題,回到第一階段,將其應用到準備過程中。
通過最佳實踐防御來加強反應能力
文章開頭提到的那家網絡游戲運營商的經歷也凸顯了混合檢測和緩解解決方案的必要性。這種解決方案結合了基于云和本地部署的保護功能,目前大部分安全分析師都認為這是一種DDoS緩解的最佳實踐。如果只是基于云的服務,當攻擊已經開始時,往往由客戶負責通知MSSP。本地部署的DDoS解決方案(設備的或者虛擬的)提供了網絡可見性,并有一些內置的對抗措施,在意識到攻擊之前,檢測到攻擊時就會自動啟動對抗措施,而無需人工干預。這能夠節省寶貴的時間來啟動和協調事件響應計劃。
在最佳實踐應用場景中,本地部署和基于云的防御措施實現無縫保護。通過先進的“云信令”,當網絡中的攻擊流量達到設定容量時,本地部署設備通知云基礎設施啟動緩解措施。
毫無疑問,自動化提供了事件響應中的關鍵優勢。但不能完全依賴它,事件響應計劃仍然需要。攻擊者肯定會采用先進的技術,但他們真正的優勢在于其狡詐性。要想高效應對DDoS,應該把先進技術和人類智能結合起來,以阻止不正當的行為。實踐,實踐,再實踐。
關于作者:金大剛(Alex Chin)Arbor Networks 大中華區總經理
京公網安備 11010502049343號