DDoS保護(hù)、減災(zāi)和防御的7個(gè)重要提示

Charles

保護(hù)您的網(wǎng)絡(luò)免受DDoS攻擊首先從規(guī)劃您的響應(yīng)措施開(kāi)始。在本文中，安全專(zhuān)家為反擊提供了他們最好的建議。

DDoS攻擊比以往任何時(shí)候來(lái)的更猛烈，規(guī)模更大，而且可以隨時(shí)攻擊任何人。對(duì)此，我們?yōu)閷?duì)抗DDoS攻擊提供了一些必要的建議。

1.準(zhǔn)備好您的DDoS減災(zāi)計(jì)劃

企業(yè)應(yīng)設(shè)法預(yù)測(cè)對(duì)手會(huì)以哪些應(yīng)用程序和網(wǎng)絡(luò)服務(wù)為攻擊目標(biāo)，起草一份應(yīng)急響應(yīng)計(jì)劃，以應(yīng)對(duì)這些攻擊。

Tsantes說(shuō)：“企業(yè)越來(lái)越關(guān)注這些攻擊，并計(jì)劃好怎么去應(yīng)對(duì)。他們能很好地把自己內(nèi)部攻擊信息與供應(yīng)商提供給他們的信息結(jié)合起來(lái)，反擊這些攻擊。”

IBM的Price對(duì)此表示同意。她說(shuō)：“企業(yè)的響應(yīng)措施越來(lái)越好。他們正在整合內(nèi)部應(yīng)用和網(wǎng)絡(luò)部門(mén)，知道何時(shí)需要更新攻擊響應(yīng)措施，當(dāng)攻擊到來(lái)時(shí)他們就不會(huì)措手不及。因此，雖然攻擊者變得越來(lái)越老練，而金融機(jī)構(gòu)也會(huì)以其人之道還治其人之身?！?/p>

Day說(shuō)：“如果的確發(fā)生了影響業(yè)務(wù)的DDoS攻擊事件，災(zāi)難恢復(fù)計(jì)劃和演練過(guò)的流程也應(yīng)該立即到位，包括很好的公開(kāi)消息?；A(chǔ)設(shè)施在類(lèi)型和地理上的多樣性，以及公有云和私有云適當(dāng)?shù)倪M(jìn)行混合也有助于對(duì)抗DDoS攻擊?！?/p>

BeyondTrust技術(shù)研究員Scott Carlson說(shuō)：“任何大企業(yè)應(yīng)首先從具有多個(gè)WAN入口點(diǎn)和協(xié)議的網(wǎng)絡(luò)層保護(hù)開(kāi)始，借助數(shù)據(jù)流清洗供應(yīng)商（例如，Akamai和F5）來(lái)對(duì)抗攻擊，在攻擊到達(dá)您的邊緣之前，將其擊退。沒(méi)有哪種物理DDoS設(shè)備能跟上廣域網(wǎng)速度的攻擊，所以必須先在云中清洗它們。確保您的運(yùn)維人員按照適當(dāng)?shù)某绦?，很容易地?duì)數(shù)據(jù)流重新路由以便進(jìn)行清洗，對(duì)已經(jīng)飽和的網(wǎng)絡(luò)設(shè)備進(jìn)行失效恢復(fù)處理?！?/p>

2.實(shí)時(shí)調(diào)整

企業(yè)的確應(yīng)能夠?qū)崟r(shí)調(diào)整以應(yīng)對(duì)DDOS攻擊，2012年和2013年，攻擊波襲擊了很多金融服務(wù)和銀行業(yè)，包括美國(guó)銀行、Capital One、Chase、花旗銀行、PNC銀行和富國(guó)銀行，這更加說(shuō)明了實(shí)時(shí)調(diào)整的重要性。這些攻擊不但老練而且毫不留情。Arbor Networks美國(guó)公司解決方案架構(gòu)師Gary Sockrider說(shuō)：“這些攻擊不僅是多途徑的，而且會(huì)實(shí)時(shí)改變策略。”攻擊者會(huì)觀察網(wǎng)站怎樣響應(yīng)，當(dāng)網(wǎng)站重新上線時(shí)，黑客會(huì)調(diào)整采用新的攻擊方法。

他說(shuō)：“他們非常執(zhí)著，會(huì)通過(guò)不同的端口、協(xié)議或者從新的來(lái)源去攻擊您。而且不斷改變策略。企業(yè)必須像對(duì)手一樣的敏捷靈活，做好準(zhǔn)備?！?/p>

3.爭(zhēng)取采用DDoS保護(hù)和減災(zāi)服務(wù)

Cynergistek網(wǎng)絡(luò)安全策略副總裁John Nye解釋說(shuō)，當(dāng)出現(xiàn)攻擊時(shí)，企業(yè)自己能做好很多調(diào)整準(zhǔn)備工作，而爭(zhēng)取采用第三方DDoS保護(hù)服務(wù)是比較不錯(cuò)的方式。Nye說(shuō)：“可以在企業(yè)內(nèi)進(jìn)行監(jiān)測(cè)，通常是在SOC或者NOC，查看數(shù)據(jù)流量是否超出正常，如果確認(rèn)不是合法的數(shù)據(jù)流，那么可以采用Web應(yīng)用程序防火墻（WAF）或者其他技術(shù)解決方案阻斷它。雖然有可能構(gòu)建更穩(wěn)健的基礎(chǔ)設(shè)施，處理流量更大的負(fù)載，但這一解決方案要比使用第三方服務(wù)成本更高一些。”

Chris Day是數(shù)據(jù)中心服務(wù)提供商Cyxtera首席網(wǎng)絡(luò)安全官，他同意Nye的觀點(diǎn)，企業(yè)應(yīng)該考慮獲得專(zhuān)業(yè)的幫助。Nye補(bǔ)充說(shuō)：“企業(yè)應(yīng)該與DDoS減災(zāi)公司或者他們的網(wǎng)絡(luò)服務(wù)提供商合作，使之具備減災(zāi)能力，或者至少在發(fā)生攻擊時(shí)能夠迅速做好部署。企業(yè)可以做到的，而且最實(shí)用的工作是爭(zhēng)取采用第三方DDoS保護(hù)服務(wù)——如果他們認(rèn)為其網(wǎng)站對(duì)于業(yè)務(wù)非常重要的話。在這種情況下，我不會(huì)具體推薦任何一家供應(yīng)商，因?yàn)樽詈玫倪x擇應(yīng)視情而定，如果一家企業(yè)正在考慮使用這類(lèi)服務(wù)，他們應(yīng)全面了解服務(wù)有哪些選項(xiàng)?！?/p>

4.不要只依靠邊界防御

幾年前，在撰寫(xiě)關(guān)于金融服務(wù)企業(yè)DDoS攻擊的報(bào)告時(shí)，我們采訪的每一個(gè)人都發(fā)現(xiàn)他們傳統(tǒng)的內(nèi)部部署的安全設(shè)備——防火墻、入侵防御系統(tǒng)、負(fù)載平衡器，等等，無(wú)法阻止攻擊。

當(dāng)談到幾年前對(duì)銀行和金融服務(wù)行業(yè)的攻擊時(shí)，Sockrider說(shuō)：“我們看到的是這些a設(shè)備出現(xiàn)了故障。這里的經(jīng)驗(yàn)教訓(xùn)非常簡(jiǎn)單：在DDoS攻擊到達(dá)這些設(shè)備之前，您必須得做好攻擊防護(hù)。它們非常脆弱。它們就和您要保護(hù)的服務(wù)器一樣脆弱?！辈糠止舴雷o(hù)工作將不得不依賴(lài)上游網(wǎng)絡(luò)提供商或者托管安全服務(wù)提供商，他們能夠阻斷網(wǎng)絡(luò)邊界攻擊。

當(dāng)面對(duì)大規(guī)模攻擊時(shí)，尤其重要的是做好上游攻擊的防護(hù)工作。

Sockrider說(shuō)：“如果您的互聯(lián)網(wǎng)網(wǎng)絡(luò)連接是10GB，而對(duì)您的攻擊是100GB，試圖以10GB來(lái)進(jìn)行防御是毫無(wú)希望的。由于上游的原因，您已經(jīng)被宰殺了?！?/p>

5.對(duì)抗應(yīng)用層攻擊

對(duì)特定應(yīng)用程序的攻擊通常是隱蔽的，小規(guī)模的，目標(biāo)也非常明確。

Sockrider說(shuō)：“它們被設(shè)計(jì)的非常低調(diào)，所以您需要在本地或者數(shù)據(jù)中心進(jìn)行保護(hù)，這樣您可以進(jìn)行深層數(shù)據(jù)包檢查，在應(yīng)用層看到所有一切。這是防護(hù)這類(lèi)攻擊最好的辦法。”

Signal Sciences公司戰(zhàn)略、營(yíng)銷(xiāo)和合作伙伴副總裁Tyler Shields說(shuō)：“企業(yè)需要一種能處理應(yīng)用層DoS攻擊的網(wǎng)絡(luò)保護(hù)工具?！彼f(shuō)：“特別是那些允許您進(jìn)行配置來(lái)滿(mǎn)足業(yè)務(wù)邏輯的工具。以網(wǎng)絡(luò)為基礎(chǔ)的攻擊防護(hù)措施已經(jīng)不夠用了。”

Amir Jerbi是容器安全公司Aqua Security聯(lián)合創(chuàng)始人和首席技術(shù)官，他介紹了抵御DDoS攻擊可以采取的舉措，即把應(yīng)用程序部署在多個(gè)公有云提供商那里，實(shí)現(xiàn)應(yīng)用程序的冗余。他說(shuō)：“如果您的應(yīng)用程序或者基礎(chǔ)設(shè)施提供商受到攻擊，那么這將確保您很容易調(diào)整到別的云部署上?！?/p>

6.協(xié)作

銀行業(yè)面對(duì)這些攻擊時(shí)，相互合作得不錯(cuò)。他們所透露的一切都是經(jīng)過(guò)精心保護(hù)的，以限制的方式，嚴(yán)格限制分享范圍，銀行在合作方面比大多數(shù)行業(yè)做得更好。

IBM金融部門(mén)安全策略師Lynn Price說(shuō)：“他們相互之間，以及與他們的電信提供商之間都展開(kāi)了合作。他們直接與他們的服務(wù)提供商合作。他們必須這樣做。對(duì)他們而言，單打獨(dú)斗不可能取得成功?！?/p>

例如，當(dāng)金融服務(wù)行業(yè)成為攻擊目標(biāo)時(shí)，他們求助于金融服務(wù)信息共享和分析中心，并分享有關(guān)威脅的信息。Akamai技術(shù)公司金融服務(wù)首席策略分析師Rich Bolstridge說(shuō)：“在一些信息共享會(huì)議中，當(dāng)討論正在進(jìn)行的攻擊類(lèi)型，以及所實(shí)施的證明有效的解決方案時(shí)，大銀行都非常開(kāi)放。通過(guò)這種方式，大銀行至少相互交流過(guò)了?！?/p>

金融部門(mén)的戰(zhàn)略是可以，而且應(yīng)該應(yīng)用于其他行業(yè)。

7.提防二次攻擊

盡管DDoS攻擊代價(jià)高昂，但它們有時(shí)可能只不過(guò)是為了分散注意力，為更惡毒的攻擊提供掩護(hù)。

Price說(shuō)：“DDoS攻擊有時(shí)會(huì)是一種聲東擊西的戰(zhàn)術(shù)，其他方向會(huì)有更嚴(yán)重的攻擊。銀行應(yīng)意識(shí)到，他們不僅要監(jiān)視并防御DDoS攻擊，而且還必須提防DDoS可能只是一次多方面攻擊的一環(huán)，是為了竊取賬戶(hù)或者其他敏感的信息?！?/p>

8.保持警惕

雖然很多次DDoS攻擊看起來(lái)只是針對(duì)高知名度的行業(yè)和企業(yè)，研究表明不一定是這樣。如今，連接在一起的數(shù)字供應(yīng)鏈（每一家企業(yè)都依賴(lài)于數(shù)十個(gè)甚至數(shù)百個(gè)在線供應(yīng)商），通過(guò)攻擊表達(dá)的網(wǎng)絡(luò)示威活動(dòng)，由國(guó)家資助的針對(duì)其他國(guó)家行業(yè)的攻擊，以及很容易就能夠發(fā)起DDoS攻擊，等等，考慮到這些因素，每一企業(yè)都應(yīng)該想到自己會(huì)成為攻擊目標(biāo)。

因此，做好準(zhǔn)備，以本文的建議作為起點(diǎn)，構(gòu)建企業(yè)自己的對(duì)抗DDOS的策略。

原文網(wǎng)址：

http：//www.csoonline.com/article/734936endprint