訣竅幫你抵禦DDoS攻擊

隨著黑客們隱藏自己的手段愈發高明、攻擊招式更為**，各行各業的安全領導者們需要盡快做好準備。

如果向全國各大主要銀行的cso們詢問近幾個月來所遭遇過的分布式拒絕服務攻擊（簡稱ddos），他們一定會三緘其口。沒錯，保持沉默正是安全人士的首選態度。

安全高管們從不願意談論這些攻擊活動，因為他們不希望自己的言論使企業受到更多關注。他們甚至擔心光是提供防禦策略的基本資訊就足以吸引攻擊者前來並找到安全漏洞。

但很多企業在初次受到攻擊時就已經發現端倪，而安全管理者也需要針對惡意攻擊是否還將捲土重來給出答案。因此儘管cso們不願多談，但我們仍然希望能了解他們的處理態度。為了避免意外的麻煩，我們以不具名的形式轉述幾位cso在工作中所親歷的情況，並**原先一直奏效的安全策略為何最終折戟沉沙。

ddos攻擊在過去幾年中的兇猛程度可謂史無前例，黑客行動主義者們清楚，金融服務**一旦停機意味著每分鐘都將造成數百萬美元的業務損失。曾針對美國銀行、第一資本金融公司、大通銀行、花旗銀行、pnc銀行以及富國銀行的攻擊可謂冷酷無情而又精妙複雜，使得眾多安全高管甚至畏懼到不敢對細節進行深入討論。

「這些ddos攻擊活動已經成為非常敏感的話題，我們現在無法進行公開討論，」某家太平洋西北部地區中型銀行的ciso如是說。

「企業通訊部門目前禁止我們與****具體情況，高調聲張可能會導致公司成為更多攻擊者的關注目標，」某位美國東南部金融服務企業的安全負責人表示。

儘管二次世界大戰的宣傳海報曾經道出「言多必失」這一真理，但「知識就是力量」同樣是不容置疑的箴言，在現代業務技術系統的保護方面更是如此。毫無疑問，作為一位新興銀行組織的首席資訊保安官，在遭遇首**擊後選擇避而不談絕對有失水準。面對安全威脅，大家需要的是暢通的資訊、新型攻擊資料以及防禦體系發展趨勢，而這一切都需要良好的交流環境。

有人認為，監管部門、公共部門以及金融機構之間長期以來的緊張關係至少應該為網路安全事故承擔一部分責任，因為企業正是由於這種矛盾而往往選擇大事化小、小事化了。

「推動協作與資訊共享程序的最佳途徑在於確保機構之間能夠順利交流關於成功與失敗的任何資訊，同時不會引發後續風波。如果一家機構在提交了攻擊活動報告後，監管部門反倒第乙個跳出來準備進行處罰，那麼沒人會願意再把安全情況放到桌面上來談，」安永會計師事務所資訊保安諮詢服務主管chiptsantes指出。

談到最近興起的一股股ddos攻擊波瀾，是否有能力識別出攻擊活動並迅速組織威脅應對手段成為決定事故結果的關鍵性因素。做到這兩點，企業就能保持自己的服務持續可用；一旦失敗，服務將只能被迫下線。

「最近這些ddos攻擊發展勢頭非常迅猛，每次出現的新攻擊都採取與之前不同的實施策略，」ibm公司財務部門安全戰略專家lynnprice表示。從本質上講，攻擊者的策略旨在提高自身攻擊能力，借助先進的基礎設施與應用程式指向工具並實現攻擊活動的自動化進行。

「他們的攻擊能力越來越複雜且難以捉摸，安全人員甚至很難發現到底哪些it堆疊成為其攻擊目標，」她解釋道。

在這種環境下，保持沉默幾乎成了一種協助犯罪行為。因此儘管cso們對於分享資訊採取「非暴力不合作」態度，我們仍然設法通過一些內幕會議及採訪活動收集到一部分資料，藉以了解安全專家原先是如何幫助這些受害企業構建防禦機制的。通過這樣的方式，我們為各位讀者朋友總結出以下應對ddos攻擊的訣竅。

為實時防禦調整做好準備

「這些攻擊不僅指向多個目標，其具體戰術也在實時進行改變，」arbor網路美國公司解決方案架構師garysockrider表示。攻擊者們會觀察站點的響應情況，並在站點重新上線之後立即組織新的攻擊方式。

「他們絕不會半途而廢，嘗試不同埠、不同協議或者從新的源頭實施攻擊，總之他們不達目的誓不罷休。戰術總是處於變化之中，」他指出。「企業使用者必須理解對手的這種快速靈活特性，並為之做好準備。

」不要僅僅依靠內部防禦機制

在與所有採訪物件的交流中，我們發現傳統的內部安全體系——防火牆、入侵防禦系統以及負載均衡機制——都無法阻止攻擊活動。

「我們親眼見證這些裝置在攻擊面前被一一摧毀。得到的教訓非常簡單：只有在攻擊真正抵達這些裝置前就加以扼制，我們才能真正緩和ddos危機。

安全裝置同樣存在漏洞，其漏洞之多與我們想要保護的伺服器本身並無二致，」sockrider解釋稱。為了實現更理想的防禦效果，我們必須依賴上游網路運營商或託管安全服務**商們的支援，他們的協助能將攻擊活動阻隔在網路體系之外。

當面對大規模攻擊時，從上游開始抵禦攻擊就顯得更加重要。

「如果我們的網際網路連線只能承載10gb資料傳輸量，而攻擊活動卻帶來100gb傳輸量，那麼希望將其降低至10gb的任何努力都將是徒勞的，因為上游匯入的資訊總量已經注定了服務崩潰的悲慘命運，」sockrider總結道。

在內部撲滅應用程式層攻擊

指向特定應用程式的攻擊活動一般比較隱蔽，規模較小而且更有針對性。

「這類攻擊著力改進自身隱蔽性，因此我們需要在內部或者資料中心體系中實施保護，這樣才能實現深度包檢測並掌握應用程式層中的全部情況。這是緩解這類攻擊的最佳方式，」sockrider告訴我們。

協作銀行業已經在遭遇攻擊時採取了一定程度的協作機制。他們所披露的一切資訊都會受到嚴格保護，並只與內部同行進行分享。這種結合了限制機制的協作途徑讓銀行業在安全協作方面的表現優於大多數其它行業。

「他們與其它銀行同仁及電信**商開展交流，而且直接與服務**商展開合作。當然，他們別無選擇，因為單憑自己的力量根本無法在嚴酷的安全世界中生存下來，」price指出。

他們還向金融服務資訊共享及分析中心尋求技術支援，並與其分享自己的安全威脅資訊。

「在這類資訊交流會議上，有一些大型銀行採取非常開放的溝通態度，積極與他人分享自身所遭遇的安全威脅以及切實有效的處理方案。通過這種方式，大型銀行至少開啟了溝通渠道，」akamai技術公司金融服務部門首席戰略專家richbolstridge評價稱。

金融行業的戰略視角可以也應該被廣泛推廣到各行各業當中。

提前準備應急預案

企業必須努力**應用程式及網路服務可能面臨的安全威脅，並通過制定安全應急預案來緩解這些攻擊所造成的後果。

「企業應該將注意力集中在攻擊本身，並提前制定規劃以部署響應流程。他們還可以彙總內部攻擊資訊並將其提供給**商，從而形成同仇敵愾的攻擊對抗聯盟，」tsantes建議道。

ibm公司的price對此也表示贊同。

「企業需要組織起更理想的響應措施。他們需要將內部應用程式團隊與網路團隊進行整合，幫助技術人員了解攻擊活動出現時應如何做出響應，這樣才不至於由於慌亂而導致坐以待斃的狀況。由於攻擊者們越來越狡猾，金融機構也要快速成長才能跟上形勢，」她進一步解釋道。

目前，許多大型金融機構已經開始著手強化ddos防禦體系，但觀察家們擔心攻擊者會將攻擊目標轉移到規模較小的銀行、信用社甚至其它行業身上。

「多**擊活動的肆虐已經引起了某些地區銀行管理層的高度重視，他們開始積極幫助企業做好應對準備，這也算是惡意事故的正面影響，」大西洋中部地區某家銀行的it安全官評論稱。

「而受到大型機構的啟發，很多規模較小的銀行也開始著手籌備，因為他們已經意識到自己同樣可能成為攻擊活動的下乙個目標，並由於擔憂而激發出強大的主觀能動性，」bolstridge指出。

pirce則解釋稱，這意味著大多數企業都將更多依賴於服務**商與管理安全服務**商所提供的支援。

「他們需要對自家系統做出彈性評估，並確保其服務**商已經準備好應對潛在攻擊並能為其提供足夠的保護，」她總結稱。

當心次要攻擊

由於攻擊活動的組織成本不斷提高，某些惡意侵襲甚至有可能成為規模更大、手段更兇猛的安全威脅的掩護活動。

「ddos攻擊還可能充當一種障眼法，旨在為其它更為險惡的攻擊提供掩護。銀行一定得明白，他們不僅需要監測並防禦ddos攻擊，同時也必須時刻當心嘗試竊取賬戶或其它敏感資訊的次要攻擊——雖然名為『次要』，但這才是犯罪分子的真正目的，」price表示。

非銀行業也需要警惕

雖然目前大部分攻擊活動都集中在金融領域，但專家們提醒稱其它行業同樣有可能受到波及。

「我們不希望看到這種級別的攻擊出現在醫療保健等其它行業，因為這些行業由於缺乏成為攻擊目標的心態而很少配備充分的保護措施，」bolstridge提醒道。「希望大家能將此視為安全警鐘，並以適當方式評估自身面臨的風險。」

而資訊共享正是攻擊活動中的重要環節。

「攻擊者們彼此之間當然也會共享資訊。事實上，只有第一位攻擊者才是真正的技術天才，其他人則只能稱為跟風而上的受益者，」他總結道。

壞傢伙們的行事方式也應當成為好人們的行為準則。資訊共享、攜手合作，這才是對抗惡意活動的絕佳方式。

訣竅幫你抵禦DDoS攻擊

網路如何應對DDoS攻擊

分布式拒絕攻擊 DDOS 軟體瘋狂ddos攻防

ddos,ddos攻擊,ddos防火牆

訣竅幫你抵禦DDoS攻擊

網路如何應對DDoS攻擊

分布式拒絕攻擊 DDOS 軟體瘋狂ddos攻防

ddos,ddos攻擊,ddos防火牆

相關推薦