近日公布DDOS攻击支付宝事件的判决结果,支付宝公司其属下的蚂蚁金融公司于2020年10月17日2时45分许至当日4时15分许,有24个IP遭受DDOS攻击,峰值累计5.84T,影响蚂蚁金融公司互联网网关服务入口的运行,攻击服务器所使用的IP地址归属深圳市龙岗区坂田街道。并且在此次攻击事件的防御中,其中3个香港IP的攻击流量超过IDC内部防护能力,调用了三次云堤海外黑洞服务,每次2000元,共计资损6000元。
这个威胁释放了一个严峻且令人不安的征兆:网络级和应用层攻击的规模和频率正在呈现前所未有的增加趋势。
DDoS攻击的规模和复杂度不断提高
Imperva研究实验室发现,在过去的10个月中,网络犯罪分子针对其客户的DDoS攻击数量(无论是规模、数量还是强度)都在显著增加。2020年7月,Imperva公司报告了规模和范围强大的网络攻击动态,而在用一个月,它还报告了一项最高的每秒数据包攻击记录,具体为139 MPPS。2020年8月,最大的带宽攻击记录为每秒696Gbit。尽管2020年9月的网络攻击没有达到这些峰值,但也接近了2020年迄今为止DDoS风险最高的月份。这些全球DDoS攻击的频率和强度已经超过了2019年11月(假日购物高峰期)的水平。
由于分布在全球各地的“僵尸军团”中的大量计算机正在试图使用虚假流量淹没服务器,以使其离线脱机,因此DDoS攻击要远比一台计算机实施的拒绝服务(DoS)攻击更具破坏性。然而,近年来,我们又注意到了一个令人不安的趋势:DDoS攻击成为转移人们注意力的“烟幕”——服务中断将IT团队的注意力从单独的、更复杂的网络入侵行为(例如帐户接管或网络钓鱼)中转移。
仅仅是DDoS的破坏就已经足够严重了。有针对性的攻击活动,往往只需几分钟就能轻松瓦解目标网络,而要恢复正常运行则要花费数小时甚至更久。实际上,调查数据显示,有91%的组织由于DDoS攻击而遭受了停机,平均每次停机对组织带来的损失高达30万美元。而除了直接的收入损失外,DDoS攻击还会影响客户信任度,迫使企业赔偿用户大量违约金,并造成长期声誉损失,尤其是在导致其他违规行为的情况下。
成功抵御DDoS的七个要素
由于许多组织正在新冠疫情的阴霾下苦苦挣扎,而成为网络攻击的受害者可能是压垮骆驼的最后一根稻草。面对这种情况,进行全面的防御是必不可少的,但是从大规模的网络攻击到复杂而持久的应用层威胁,组织需要考虑的潜在解决方案的最重要因素是什么?
1. 缓解方案的服务等级协议(SLA)
当几秒钟的停机时间可能会对组织业务带来损害时,缓解时间(time to mitigation,简称TTM,即第一个DDoS数据包攻击系统与DDoS缓解系统开始清理传入流量之间的时间)是至关重要的考虑因素。企业组织应该寻找一种解决方案,该解决方案的服务等级协议(SLA)可以确保在几秒内缓解任何DDoS攻击——而不仅仅是简单的攻击媒介。
2. 技术能力
企业组织需要采用专门针对每种类型的DDoS攻击量身定制的技术。例如,可以通过机器学习对流量进行概要分析,并根据行为模式变化定义和更新相关DDoS安全策略的技术,以阻止容量耗尽攻击(volumetric attack,即使用不需要的请求淹没受害者的系统)以及协议攻击(利用传输层)。这可以与威胁研究算法相结合,作为多阶段实时缓解过程的一部分,以解决可疑活动。
3. 操作简便
考虑到在确保业务连续性方面的作用,DDoS防护的实施和操作不应该太过繁琐笨拙。如果DDoS防护软件的操作过于复杂,企业组织将无法把握住那短暂且珍贵的缓解时间(TTM),以致于可能将承受网络攻击带来的巨大损失。
4. 网络设置
DDoS防护可以是始终不间断的操作,也可以是按需保护,即仅在发生网络攻击时才激活。不过,无论缓解措施是自动触发还是通过人工触发,广泛的连接选项也是使组织能够顺利适应自身拓扑的关键。
5. 地理分布
全面的地理覆盖至关重要。企业组织需要寻求具有全球DDoS清理中心网络以及范围广泛的直接对等(Peering)协议和Tier 1传输运营商的供应商进行合作。这样一来,无论数据中心和/或云资产的位置在哪里,企业组织都可以获得最快速的保护服务。
6. 高效可操作化的缓解方案
DDoS防护就是快速分析、识别和缓解恶意流量。流量信息是关键要素,所以灵活的访问方式至关重要。在全天候在线运营的情况下,解决方案需要实时采样和分析不断流动的数据流量。这些信息不仅用于网络攻击检测,还用于更细粒度的流量分析,当识别DDoS“烟幕”和潜在攻击时,可以帮助提供重要的“全局”视图。
7. 整合
原生API功能是现代DDoS保护系统的关键要素。例如,通过与安全信息和事件管理(SIEM)平台的原生整合,可以将安全信息和事件实时捕获、保留和传递到所选的SIEM应用程序中,通过该应用程序可以在更广泛的上下文中更为轻松地访问和查看这些信息。
通过在DDoS防护策略中考虑这七个要素,企业组织可以积极主动地抵御这些日趋严重的网络攻击。