DDoS保護、減災(zāi)和防御的7個重要提示

Charles

保護您的網(wǎng)絡(luò)免受DDoS攻擊首先從規(guī)劃您的響應(yīng)措施開始。在本文中，安全專家為反擊提供了他們最好的建議。

DDoS攻擊比以往任何時候來的更猛烈，規(guī)模更大，而且可以隨時攻擊任何人。對此，我們?yōu)閷笵DoS攻擊提供了一些必要的建議。

1.準(zhǔn)備好您的DDoS減災(zāi)計劃

企業(yè)應(yīng)設(shè)法預(yù)測對手會以哪些應(yīng)用程序和網(wǎng)絡(luò)服務(wù)為攻擊目標(biāo)，起草一份應(yīng)急響應(yīng)計劃，以應(yīng)對這些攻擊。

Tsantes說：“企業(yè)越來越關(guān)注這些攻擊，并計劃好怎么去應(yīng)對。他們能很好地把自己內(nèi)部攻擊信息與供應(yīng)商提供給他們的信息結(jié)合起來，反擊這些攻擊。”

IBM的Price對此表示同意。她說：“企業(yè)的響應(yīng)措施越來越好。他們正在整合內(nèi)部應(yīng)用和網(wǎng)絡(luò)部門，知道何時需要更新攻擊響應(yīng)措施，當(dāng)攻擊到來時他們就不會措手不及。因此，雖然攻擊者變得越來越老練，而金融機構(gòu)也會以其人之道還治其人之身。”

Day說：“如果的確發(fā)生了影響業(yè)務(wù)的DDoS攻擊事件，災(zāi)難恢復(fù)計劃和演練過的流程也應(yīng)該立即到位，包括很好的公開消息。基礎(chǔ)設(shè)施在類型和地理上的多樣性，以及公有云和私有云適當(dāng)?shù)倪M行混合也有助于對抗DDoS攻擊。”

BeyondTrust技術(shù)研究員Scott Carlson說：“任何大企業(yè)應(yīng)首先從具有多個WAN入口點和協(xié)議的網(wǎng)絡(luò)層保護開始，借助數(shù)據(jù)流清洗供應(yīng)商（例如，Akamai和F5）來對抗攻擊，在攻擊到達您的邊緣之前，將其擊退。沒有哪種物理DDoS設(shè)備能跟上廣域網(wǎng)速度的攻擊，所以必須先在云中清洗它們。確保您的運維人員按照適當(dāng)?shù)某绦颍苋菀椎貙?shù)據(jù)流重新路由以便進行清洗，對已經(jīng)飽和的網(wǎng)絡(luò)設(shè)備進行失效恢復(fù)處理。”

2.實時調(diào)整

企業(yè)的確應(yīng)能夠?qū)崟r調(diào)整以應(yīng)對DDOS攻擊，2012年和2013年，攻擊波襲擊了很多金融服務(wù)和銀行業(yè)，包括美國銀行、Capital One、Chase、花旗銀行、PNC銀行和富國銀行，這更加說明了實時調(diào)整的重要性。這些攻擊不但老練而且毫不留情。Arbor Networks美國公司解決方案架構(gòu)師Gary Sockrider說：“這些攻擊不僅是多途徑的，而且會實時改變策略。”攻擊者會觀察網(wǎng)站怎樣響應(yīng)，當(dāng)網(wǎng)站重新上線時，黑客會調(diào)整采用新的攻擊方法。

他說：“他們非常執(zhí)著，會通過不同的端口、協(xié)議或者從新的來源去攻擊您。而且不斷改變策略。企業(yè)必須像對手一樣的敏捷靈活，做好準(zhǔn)備。”

3.爭取采用DDoS保護和減災(zāi)服務(wù)

Cynergistek網(wǎng)絡(luò)安全策略副總裁John Nye解釋說，當(dāng)出現(xiàn)攻擊時，企業(yè)自己能做好很多調(diào)整準(zhǔn)備工作，而爭取采用第三方DDoS保護服務(wù)是比較不錯的方式。Nye說：“可以在企業(yè)內(nèi)進行監(jiān)測，通常是在SOC或者NOC，查看數(shù)據(jù)流量是否超出正常，如果確認(rèn)不是合法的數(shù)據(jù)流，那么可以采用Web應(yīng)用程序防火墻（WAF）或者其他技術(shù)解決方案阻斷它。雖然有可能構(gòu)建更穩(wěn)健的基礎(chǔ)設(shè)施，處理流量更大的負(fù)載，但這一解決方案要比使用第三方服務(wù)成本更高一些。”

Chris Day是數(shù)據(jù)中心服務(wù)提供商Cyxtera首席網(wǎng)絡(luò)安全官，他同意Nye的觀點，企業(yè)應(yīng)該考慮獲得專業(yè)的幫助。Nye補充說：“企業(yè)應(yīng)該與DDoS減災(zāi)公司或者他們的網(wǎng)絡(luò)服務(wù)提供商合作，使之具備減災(zāi)能力，或者至少在發(fā)生攻擊時能夠迅速做好部署。企業(yè)可以做到的，而且最實用的工作是爭取采用第三方DDoS保護服務(wù)——如果他們認(rèn)為其網(wǎng)站對于業(yè)務(wù)非常重要的話。在這種情況下，我不會具體推薦任何一家供應(yīng)商，因為最好的選擇應(yīng)視情而定，如果一家企業(yè)正在考慮使用這類服務(wù)，他們應(yīng)全面了解服務(wù)有哪些選項。”

4.不要只依靠邊界防御

幾年前，在撰寫關(guān)于金融服務(wù)企業(yè)DDoS攻擊的報告時，我們采訪的每一個人都發(fā)現(xiàn)他們傳統(tǒng)的內(nèi)部部署的安全設(shè)備——防火墻、入侵防御系統(tǒng)、負(fù)載平衡器，等等，無法阻止攻擊。

當(dāng)談到幾年前對銀行和金融服務(wù)行業(yè)的攻擊時，Sockrider說：“我們看到的是這些a設(shè)備出現(xiàn)了故障。這里的經(jīng)驗教訓(xùn)非常簡單：在DDoS攻擊到達這些設(shè)備之前，您必須得做好攻擊防護。它們非常脆弱。它們就和您要保護的服務(wù)器一樣脆弱。”部分攻擊防護工作將不得不依賴上游網(wǎng)絡(luò)提供商或者托管安全服務(wù)提供商，他們能夠阻斷網(wǎng)絡(luò)邊界攻擊。

當(dāng)面對大規(guī)模攻擊時，尤其重要的是做好上游攻擊的防護工作。

Sockrider說：“如果您的互聯(lián)網(wǎng)網(wǎng)絡(luò)連接是10GB，而對您的攻擊是100GB，試圖以10GB來進行防御是毫無希望的。由于上游的原因，您已經(jīng)被宰殺了。”

5.對抗應(yīng)用層攻擊

對特定應(yīng)用程序的攻擊通常是隱蔽的，小規(guī)模的，目標(biāo)也非常明確。

Sockrider說：“它們被設(shè)計的非常低調(diào)，所以您需要在本地或者數(shù)據(jù)中心進行保護，這樣您可以進行深層數(shù)據(jù)包檢查，在應(yīng)用層看到所有一切。這是防護這類攻擊最好的辦法。”

Signal Sciences公司戰(zhàn)略、營銷和合作伙伴副總裁Tyler Shields說：“企業(yè)需要一種能處理應(yīng)用層DoS攻擊的網(wǎng)絡(luò)保護工具。”他說：“特別是那些允許您進行配置來滿足業(yè)務(wù)邏輯的工具。以網(wǎng)絡(luò)為基礎(chǔ)的攻擊防護措施已經(jīng)不夠用了。”

Amir Jerbi是容器安全公司Aqua Security聯(lián)合創(chuàng)始人和首席技術(shù)官，他介紹了抵御DDoS攻擊可以采取的舉措，即把應(yīng)用程序部署在多個公有云提供商那里，實現(xiàn)應(yīng)用程序的冗余。他說：“如果您的應(yīng)用程序或者基礎(chǔ)設(shè)施提供商受到攻擊，那么這將確保您很容易調(diào)整到別的云部署上。”

6.協(xié)作

銀行業(yè)面對這些攻擊時，相互合作得不錯。他們所透露的一切都是經(jīng)過精心保護的，以限制的方式，嚴(yán)格限制分享范圍，銀行在合作方面比大多數(shù)行業(yè)做得更好。

IBM金融部門安全策略師Lynn Price說：“他們相互之間，以及與他們的電信提供商之間都展開了合作。他們直接與他們的服務(wù)提供商合作。他們必須這樣做。對他們而言，單打獨斗不可能取得成功。”

例如，當(dāng)金融服務(wù)行業(yè)成為攻擊目標(biāo)時，他們求助于金融服務(wù)信息共享和分析中心，并分享有關(guān)威脅的信息。Akamai技術(shù)公司金融服務(wù)首席策略分析師Rich Bolstridge說：“在一些信息共享會議中，當(dāng)討論正在進行的攻擊類型，以及所實施的證明有效的解決方案時，大銀行都非常開放。通過這種方式，大銀行至少相互交流過了。”

金融部門的戰(zhàn)略是可以，而且應(yīng)該應(yīng)用于其他行業(yè)。

7.提防二次攻擊

盡管DDoS攻擊代價高昂，但它們有時可能只不過是為了分散注意力，為更惡毒的攻擊提供掩護。

Price說：“DDoS攻擊有時會是一種聲東擊西的戰(zhàn)術(shù)，其他方向會有更嚴(yán)重的攻擊。銀行應(yīng)意識到，他們不僅要監(jiān)視并防御DDoS攻擊，而且還必須提防DDoS可能只是一次多方面攻擊的一環(huán)，是為了竊取賬戶或者其他敏感的信息。”

8.保持警惕

雖然很多次DDoS攻擊看起來只是針對高知名度的行業(yè)和企業(yè)，研究表明不一定是這樣。如今，連接在一起的數(shù)字供應(yīng)鏈（每一家企業(yè)都依賴于數(shù)十個甚至數(shù)百個在線供應(yīng)商），通過攻擊表達的網(wǎng)絡(luò)示威活動，由國家資助的針對其他國家行業(yè)的攻擊，以及很容易就能夠發(fā)起DDoS攻擊，等等，考慮到這些因素，每一企業(yè)都應(yīng)該想到自己會成為攻擊目標(biāo)。

因此，做好準(zhǔn)備，以本文的建議作為起點，構(gòu)建企業(yè)自己的對抗DDOS的策略。

原文網(wǎng)址：

http：//www.csoonline.com/article/734936endprint