那曲行署防雷减灾办公室举办首期雷电防护培训班
Charles
保护您的网络免受DDoS攻击首先从规划您的响应措施开始。在本文中,安全专家为反击提供了他们最好的建议。
DDoS攻击比以往任何时候来的更猛烈,规模更大,而且可以随时攻击任何人。对此,我们为对抗DDoS攻击提供了一些必要的建议。
1.准备好您的DDoS减灾计划
企业应设法预测对手会以哪些应用程序和网络服务为攻击目标,起草一份应急响应计划,以应对这些攻击。
Tsantes说:“企业越来越关注这些攻击,并计划好怎么去应对。他们能很好地把自己内部攻击信息与供应商提供给他们的信息结合起来,反击这些攻击。”
IBM的Price对此表示同意。她说:“企业的响应措施越来越好。他们正在整合内部应用和网络部门,知道何时需要更新攻击响应措施,当攻击到来时他们就不会措手不及。因此,虽然攻击者变得越来越老练,而金融机构也会以其人之道还治其人之身。”
Day说:“如果的确发生了影响业务的DDoS攻击事件,灾难恢复计划和演练过的流程也应该立即到位,包括很好的公开消息。基础设施在类型和地理上的多样性,以及公有云和私有云适当的进行混合也有助于对抗DDoS攻击。”
BeyondTrust技术研究员Scott Carlson说:“任何大企业应首先从具有多个WAN入口点和协议的网络层保护开始,借助数据流清洗供应商(例如,Akamai和F5)来对抗攻击,在攻击到达您的边缘之前,将其击退。没有哪种物理DDoS设备能跟上广域网速度的攻击,所以必须先在云中清洗它们。确保您的运维人员按照适当的程序,很容易地对数据流重新路由以便进行清洗,对已经饱和的网络设备进行失效恢复处理。”
2.实时调整
企业的确应能够实时调整以应对DDOS攻击,2012年和2013年,攻击波袭击了很多金融服务和银行业,包括美国银行、Capital One、Chase、花旗银行、PNC银行和富国银行,这更加说明了实时调整的重要性。这些攻击不但老练而且毫不留情。Arbor Networks美国公司解决方案架构师Gary Sockrider说:“这些攻击不仅是多途径的,而且会实时改变策略。”攻击者会观察网站怎样响应,当网站重新上线时,黑客会调整采用新的攻击方法。
他说:“他们非常执着,会通过不同的端口、协议或者从新的来源去攻击您。而且不断改变策略。企业必须像对手一样的敏捷灵活,做好准备。”
3.争取采用DDoS保护和减灾服务
Cynergistek网络安全策略副总裁John Nye解释说,当出现攻击时,企业自己能做好很多调整准备工作,而争取采用第三方DDoS保护服务是比较不错的方式。Nye说:“可以在企业内进行监测,通常是在SOC或者NOC,查看数据流量是否超出正常,如果确认不是合法的数据流,那么可以采用Web应用程序防火墙(WAF)或者其他技术解决方案阻断它。虽然有可能构建更稳健的基础设施,处理流量更大的负载,但这一解决方案要比使用第三方服务成本更高一些。”
Chris Day是数据中心服务提供商Cyxtera首席网络安全官,他同意Nye的观点,企业应该考虑获得专业的帮助。Nye补充说:“企业应该与DDoS减灾公司或者他们的网络服务提供商合作,使之具备减灾能力,或者至少在发生攻击时能够迅速做好部署。企业可以做到的,而且最实用的工作是争取采用第三方DDoS保护服务——如果他们认为其网站对于业务非常重要的话。在这种情况下,我不会具体推荐任何一家供应商,因为最好的选择应视情而定,如果一家企业正在考虑使用这类服务,他们应全面了解服务有哪些选项。”
4.不要只依靠边界防御
几年前,在撰写关于金融服务企业DDoS攻击的报告时,我们采访的每一个人都发现他们传统的内部部署的安全设备——防火墙、入侵防御系统、负载平衡器,等等,无法阻止攻击。
当谈到几年前对银行和金融服务行业的攻击时,Sockrider说:“我们看到的是这些a设备出现了故障。这里的经验教训非常简单:在DDoS攻击到达这些设备之前,您必须得做好攻击防护。它们非常脆弱。它们就和您要保护的服务器一样脆弱。”部分攻击防护工作将不得不依赖上游网络提供商或者托管安全服务提供商,他们能够阻断网络边界攻击。
当面对大规模攻击时,尤其重要的是做好上游攻击的防护工作。
Sockrider说:“如果您的互联网网络连接是10GB,而对您的攻击是100GB,试图以10GB来进行防御是毫无希望的。由于上游的原因,您已经被宰杀了。”
5.对抗应用层攻击
对特定应用程序的攻击通常是隐蔽的,小规模的,目标也非常明确。
Sockrider说:“它们被设计的非常低调,所以您需要在本地或者数据中心进行保护,这样您可以进行深层数据包检查,在应用层看到所有一切。这是防护这类攻击最好的办法。”
Signal Sciences公司战略、营销和合作伙伴副总裁Tyler Shields说:“企业需要一种能处理应用层DoS攻击的网络保护工具。”他说:“特别是那些允许您进行配置来满足业务逻辑的工具。以网络为基础的攻击防护措施已经不够用了。”
Amir Jerbi是容器安全公司Aqua Security联合创始人和首席技术官,他介绍了抵御DDoS攻击可以采取的举措,即把应用程序部署在多个公有云提供商那里,实现应用程序的冗余。他说:“如果您的應用程序或者基础设施提供商受到攻击,那么这将确保您很容易调整到别的云部署上。”
6.协作
银行业面对这些攻击时,相互合作得不错。他们所透露的一切都是经过精心保护的,以限制的方式,严格限制分享范围,银行在合作方面比大多数行业做得更好。
IBM金融部门安全策略师Lynn Price说:“他们相互之间,以及与他们的电信提供商之间都展开了合作。他们直接与他们的服务提供商合作。他们必须这样做。对他们而言,单打独斗不可能取得成功。”
例如,当金融服务行业成为攻击目标时,他们求助于金融服务信息共享和分析中心,并分享有关威胁的信息。Akamai技术公司金融服务首席策略分析师Rich Bolstridge说:“在一些信息共享会议中,当讨论正在进行的攻击类型,以及所实施的证明有效的解决方案时,大银行都非常开放。通过这种方式,大银行至少相互交流过了。”
金融部门的战略是可以,而且应该应用于其他行业。
7.提防二次攻击
尽管DDoS攻击代价高昂,但它们有时可能只不过是为了分散注意力,为更恶毒的攻击提供掩护。
Price说:“DDoS攻击有时会是一种声东击西的战术,其他方向会有更严重的攻击。银行应意识到,他们不仅要监视并防御DDoS攻击,而且还必须提防DDoS可能只是一次多方面攻击的一环,是为了窃取账户或者其他敏感的信息。”
8.保持警惕
虽然很多次DDoS攻击看起来只是针对高知名度的行业和企业,研究表明不一定是这样。如今,连接在一起的数字供应链(每一家企业都依赖于数十个甚至数百个在线供应商),通过攻击表达的网络示威活动,由国家资助的针对其他国家行业的攻击,以及很容易就能够发起DDoS攻击,等等,考虑到这些因素,每一企业都应该想到自己会成为攻击目标。
因此,做好准备,以本文的建议作为起点,构建企业自己的对抗DDOS的策略。
原文网址:
http://www.csoonline.com/article/734936endprint
