業務部全球網際網路使用者超過 34 億,並且估計有 64 億物聯網 (IoT) 裝置連接,構成一個每秒無數資訊與交易流動的生態系統。 Gartner 估計,連網裝置數量將在 2020 年達到 200 億。 IoT 將成為我們生活的一部分,從公共設施到運輸乃至於市民服務。雖然這提供了前所未有的便利性,但同時也吸引網路犯罪者的注意,他們為了遂行惡意目的而不斷的精進技術。 IoT 裝置帶來各種便利的新功能,但人們往往忘記這些裝置也是和網路相連接。從過去的蠕蟲病毒和間諜軟體,到現在的複雜威脅例如網路間諜、勒索軟體、複雜的惡意軟體、以及普遍存在的分散式拒絕服務 (DDoS) 攻擊等,不論個人或企業都暴露於險惡的攻擊風險。
分散式拒絕服務 (Distributed Denial of Service; DDoS) 屬於一種多重來源的網路攻擊形式,目標是要中斷網路資源與使用者服務。現在的 DDoS 已進化到具有各種破壞能力,例如詐騙與勒索。典型的 DDoS 攻擊是以傀儡網路模式利用許多遭入侵的系統或裝置,藉由龐大流量癱瘓網路資源。 DDoS 攻擊可以進一步分成以下類型:
- 爆量型:專門用來灌爆網路,尤其會衝擊每秒連接數 (connections per second; CPS),讓真正的使用者流量無法存取網路。
- 非對稱式攻擊:少量的惡意資料,藉由消耗重要的記憶體讓網路變得非常遲緩。
- 運算資源攻擊:專門消耗 CPU 和記憶體資源。
- 安全弱點攻擊:針對安全弱點展開攻擊。
- 混合 DDoS 攻擊:結合了一種以上的不同攻擊類型。
本文目錄
比以往更大規模的威脅
DDoS 攻擊從 2000 年代後期開始就是一種普遍存在的威脅,而過去幾年來的攻擊規模大幅增加。新的協定攻擊和放大 (amplification) 攻擊,使得大多數企業除非藉助以雲端為基礎的 DDoS 流量淨化服務 (scrubbing service),否則就無力對抗這些規模過大的威脅。 2013 年,SpamHaus 反垃圾信專門機構因為遭受 300 Gbps 攻擊導致服務中斷,而 2014 年的一項攻擊甚至達到 400 Gbps 尖峰流量。不過,全球史上最大規模的 DDoS 攻擊發生在 2015 年,達到 500 Gbps 尖峰流量。隨著頻寬成本的降低,發動大規模攻擊的成本負擔也減輕了,因此我們可以預期很快就會看到 terabyte 規模的攻擊。
現代化拒絕服務攻擊不但會干擾或中斷服務,而且會以混合不同效應的威脅分散資安團隊注意。這類攻擊不論頻率、規模或複雜性都持續增加。攻擊者結合了爆量攻擊、部分飽和、認證與應用層攻擊,直到他們發現其中最弱的環節。這些威脅越來越難以防範,而且通常是進階持續性威脅 (advanced persistent threats; APT) 的前兆。及早發現並阻斷這些威脅,是企業確保服務連續性的關鍵。再者,普遍存在的爆量 DDoS 攻擊,加上增加中的傀儡網路威脅,促使企業必須訴諸一種結合本地部署 (on-premise) WAF 與雲端流量淨化服務的混合 DDoS 策略。
舒緩 DDoS 攻擊威脅
當公司從 on-premise WAF 偵測到遭受 DDoS 攻擊時,可以將內送流量 (incoming traffic) 切換到一個以雲端為基礎的 DDoS 流量淨化服務 (例如 F5 Silverline),對流量進行偵測和淨化。一旦流量淨化後,就會從 Silverline 送回公司。執行淨化服務的期間,公司可以一如往常繼續營運。流量淨化服務有效舒緩 DDoS 攻擊威脅,避免公司服務遭受衝擊,確保正常的業務運作。
企業必須保護他們的基礎設施,避免遭受大規模和持續性的攻擊,並且確保效能不會受影響。為了做到這一點,我們可以透過細緻分級的 DDoS 規則與政策,並結合身分識別以及應用與資料存取之脈絡知識 (contextual knowledge);這些知識來自整個部署環境的自動化資料收集與分析,包括 SSL 檢測、行為分析、頻寬利用、健康監控及其他統計資料。
這可以確保更早偵測攻擊 (例如 HTTP/S 、 SMTP 、 FTP 、 DNS 和 SIP),並且快速而精準的藉由硬體、上游或雲端服務以舒緩威脅。企業也因此能夠在攻擊流量降到可控制的層級時,順利且立即的回復服務。
F5 DDoS Hybrid Defender
F5 DDoS Hybrid Defender 在一台單一設備內提供完整的 DDoS 保護,它結合了 layer 3 – 7 保護與行為分析以辨識和舒緩攻擊,並且具備機器學習能力,能夠偵測捉摸不定的威脅和異常流量,建立完備的 DDoS 防護。該設備也能以混合模式提供 on-demand 雲端流量淨化 (F5 Silverline),無縫接軌重導大量攻擊流量以減輕負荷並大幅改善網路頻寬利用。藉由結合跨越網路、通訊與應用等多層 DDoS 防衛,並以智慧化的設計將 offsite 雲端流量淨化能力整合在一台便利的 all-in-one 設備,建立完整的基礎設施保護。
在應用層上,企業將能受惠於 layer 7 攻擊檢測,並且根據資料流邏輯、 HTTP 匯集訊號、以及 TCP 請求特性、交易與整體伺服器健康狀態,提供深入的應用威脅偵測。全代理 (full-proxy) 方案在各個階層提供 DDoS 防護,以保護協定 (包括 SSL 和 TLS 加密) 並阻斷 DDoS 脈衝流量、隨機 HTTP 洪流、快取迴避 (cache bypass) 及其他可能破壞應用行為的攻擊。
DDoS 攻擊將繼續變得更複雜且規模更擴大,尤其是增加中的 IoT 裝置連線數量使得威脅更趨複雜化。企業遠比以往更加需要建立一個混合的威脅舒緩措施。現在的攻擊具備了巨量放大和快速擴充能力,能夠癱瘓企業營運,讓企業應用失去效力並竊取關鍵的資料。因此安全方案必須具備充足的防護涵蓋,提供必要的能力和保護混合環境,甚至在網路遭受 DDoS 攻擊時有效舒緩威脅。