许多商业组织难以及时有效地检测分布式拒绝服务(DDoS)攻击,大部分组织每分钟的停机成本可能超过500美元,这并不只是风险。
NETSCOUT Arbor大中华区总经理 金大刚
许多商业组织难以及时有效地检测分布式拒绝服务(DDoS)攻击,大部分组织每分钟的停机成本可能超过500美元,这并不只是风险。DDoS越来越被用作更广泛的攻击活动的一部分,这些攻击活动包括以窃取重要信息资产为目标的勒索软件和下载型恶意软件。
Neustar对全球1000多位总监、经理、首席信息安全官、首席安全官、首席技术官进行了一项独立调查,超过一半(51%)的受访者表示他们的组织需要三个多小时才能检测和识别一次DDoS攻击。自2016年以来,这些数字变得越发严重。接近一半(48%)的受访者表示,检测到DDoS攻击后他们需要三个多小时进行响应,较2016年增加了8%。
DDoS攻击规模日渐扩大且更加复杂
DDoS攻击的规模和频率发生了巨大变化,更重要的是,攻击变得越来越复杂,持续时间也发生了变化。例如,根据NETSCOUT Arbor的第13次年度《全球基础设施安全报告》,2017年,DDoS攻击的平均持续时间为46分钟左右,较前一年的55分钟有所降低,但持续时间缩短并不等于风险降低,因为攻击产生的影响会延续更长时间。例如,一个前端网站遭到了DDoS攻击,依靠它进行通信的多个后端系统可能会用30多分钟进行同步并恢复正常。而且与恶意软件在组织内部一次潜伏好几个月不同,DDoS攻击在攻击前没有警告,对组织产生的是直接影响。
对于DDoS攻击越来越高的复杂性,从利用物联网(IoT)的多层僵尸网络的出现便可窥见一斑。连接到互联网的数百万不安全设备为大规模的动态僵尸网络创造了绝佳的“繁殖环境“,这让传统的防护策略难以招架。据估计,仅Mirai一种僵尸网络就危害了全球50多万台IoT设备。
僵尸网络不仅能发起大容量攻击,而且会形成更为复杂的混合攻击,包括:
· SYN洪水攻击
· UDP洪水攻击
· 阀蒸汽机(VSE)查询洪水攻击
· GRE洪水攻击
· CK洪水攻击(包括旨在破坏智能DDoS缓解系统的变体,或IDMSes)
· 伪随机DNS标签内容添加攻击(也称为DNS“水刑”攻击)
· HTTP GET攻击
· HTTP POST攻击
· HTTP HEAD攻击
这些攻击技术远远超过直白的容量耗尽攻击,Mirai及其衍生攻击可以同时对以下目标发起攻击:
· GRE隧道(在一些DDoS缓解架构中用于清洗流量)
· 可能受到攻击的第三方向量(如DNS服务)
· 直接通过第7层(HTTP GET/POST)实施的应用
智能自动化防护
“自动”和智能自动化是两个不同的概念,如今的DDoS防护最佳做法需要智能自动化的本地和云端缓解策略。本地组件(置于防火墙和WAF等静态设备之前)非常适合快速缓解大部分攻击,尤其是难以检测的应用层攻击。云端DDoS防护能够在真正的上行容量耗尽攻击渗透您的互联网连接之前将其缓解。
混合DDoS防护部署将本地组件与云端缓解策略结合起来,为应对如今的混合DDoS攻击提供最全面的防护措施。从下面的例子可以看到智能自动化的意义所在。经过自定义的本地DDoS解决方案可以为在特定数据中心运行的特定应用提供保护。自定义的内容包括具有特定白名单/黑名单的策略、地理定位信息等。在攻击发生之前,或者说在和平时期,这些位于本地的自定义策略被持续发送到云端DDoS防护服务。
当本地防护无法应对发生的攻击时,云端DDoS防护会收到信号,此时,攻击流量被自动重路由到适当的云端清洗中心,在这里,之前发送的自定义防护策略和其他措施自动应用到攻击流量。这就是智能自动化的一个例子,攻击流量分流更加智能,并利用之前发送的自定义策略进行自动缓解。
可行的自动化威胁情报和利用自动化流程(如果可能)对快速检测和缓解今天日益复杂的混合DDoS攻击至关重要。企业只有通过更深入地了解攻击的范围和内在作用机理,才能实现快速、高效的DDoS防护。
真正可行的威胁情报
真正可行的威胁情报具有以下特点:
· 持续提供企业之外的真实网络流量和威胁数据,流量样本越大,数据越有效。
· 根据环境对以上源数据进行优化处理:在数据点和相关的攻击活动和具体威胁之间建立对应关系。
· 高度可信。产生误报的情报不是真正的情报。
通过考察多种来源的网络攻击数据,集中分析持续性恶意软件的特征,真正可行的情报不仅识别单个威胁点,而且识别与攻击活动相关的数据。结合根本的命令和控制基础架构、历史记录以及相关的策略、技术和程序(TTP)等更广泛的环境,数据变得更加可靠。
这种可靠情报对实现更高自动化、更高速度的DDoS检测和有效防护至关重要。无论攻击的规模有多大,基于最新可行威胁情报的自动化识别都可以发挥作用,不需要等到威胁达到容量上限再启动缓解措施。您可以识别多种类型的DDoS攻击,包括“低频、慢速”的应用层攻击。自动检测特定类别的僵尸网络可以阻止它们危害网络,同时让其他安全设备能够发挥自身的作用。
许多DDoS防护措施可以实现自动化,例如阻止以带宽、应用和协议为目标的特定类型的攻击。自动化可以根据风险状况和可信度提供多级防护,与安全服务提供商或ISP沟通威胁检测和识别情况也可以实现自动化,从而提高上行DDoS缓解工作的速度和效率。
通过结合使用可行情报和智能自动化流程,您可以更好地管理如今的大容量攻击。自动化还能够让您更高效地部署安全资源,并将这些资源集中用于威胁分类:更快检测、识别和阻止真正威胁。例如,利用基于环境的可靠威胁情报(如IP信誉数据、当前的活跃恶意软件和TTP)自动预先填充SOC调查可以加快DDoS和其他攻击的威胁管理速度,并提高管理效率。
网友评论