散落在房子里、吸引人的萬(wàn)圣節(jié)糖果只意味著一件事:今年又到了零售商為黑色星期五熙熙攘攘的假日購(gòu)物者準(zhǔn)備商店(包括實(shí)體店和網(wǎng)店)的時(shí)候了。
據(jù)說(shuō),黑色星期五來(lái)源于19世紀(jì)末期發(fā)生在費(fèi)城的一次事件。零售商Wanamaker百貨公司決定以極優(yōu)惠的價(jià)格售賣印花棉布,這是當(dāng)時(shí)制衣過(guò)程中最常用的織物。被超低價(jià)印花棉布吸引蜂擁而至的購(gòu)物者最終擠破了商店前門(mén)的玻璃櫥窗,使得商店被迫關(guān)閉。毫無(wú)疑問(wèn),商店的關(guān)閉讓W(xué)anamaker損失了很多生意。
眾所周知,這種情況并不是Wanamaker所特有的,在假日購(gòu)物熱潮中,顧客的需求也會(huì)激增。每逢黑色星期五或網(wǎng)絡(luò)星期一的閃電購(gòu)物,維護(hù)網(wǎng)絡(luò)和應(yīng)用可用性已經(jīng)成為零售商一年一度的固定工作。一般而言,期間的風(fēng)險(xiǎn)遠(yuǎn)高于1890年Wanamaker事件。ComScore稱,去年網(wǎng)絡(luò)星期一的銷售額達(dá)到了30億美元,11月的銷售額接近300億美元。Ponemon研究所的評(píng)估數(shù)據(jù)顯示,企業(yè)一分鐘的宕機(jī)成本就超過(guò)2萬(wàn)美元,但如果考慮到購(gòu)物高峰期的集中銷售額,網(wǎng)絡(luò)星期一的重要性更高。
例如,2014年的黑色星期五,零售商百思買集團(tuán)遭遇了數(shù)小時(shí)的業(yè)務(wù)中斷,據(jù)報(bào)道,流量峰值是由移動(dòng)設(shè)備生成的。由于可用的信息有限,很難確定此次宕機(jī)是由一波又一波的合法客戶造成的還是網(wǎng)絡(luò)安全攻擊產(chǎn)生的惡意流量引發(fā)的。
可以確定的是,過(guò)去幾周發(fā)生了很多真實(shí)且讓人震驚的有關(guān)被入侵設(shè)備的例子,這些設(shè)備可以發(fā)起足以擊垮大型網(wǎng)絡(luò)和運(yùn)營(yíng)商的攻擊。
近期的DDoS攻擊只是證明了要百分之百確保用戶免受攻擊侵?jǐn)_的是多么具有挑戰(zhàn)性。但DDoS等威脅的提升并不能作為沒(méi)有做好充足準(zhǔn)備的借口。當(dāng)IT和安全專家只是說(shuō)他們的防御是希望自己不會(huì)遭到攻擊時(shí),情況就變得讓人遺憾了。正如他們所言:“希望并不是策略。”
好消息是,仍有一些能夠應(yīng)對(duì)最新攻擊發(fā)展的措施可供企業(yè)選擇,以確保企業(yè)的安全運(yùn)營(yíng)。
效果顯著但卻不易實(shí)現(xiàn)的措施是如何有效區(qū)分合法流量和惡意流量。打個(gè)比方,在流量類型和客戶群之間畫(huà)一條平行線。假設(shè)您有一個(gè)可以在全天不同時(shí)段滿足不同人群需求的餐廳。白天,顧客通常是中年全職媽媽或外出吃快餐的商務(wù)人士。晚上,顧客群明顯變得更年輕,有在鎮(zhèn)上閑逛的青少年群體或是在少年棒球聯(lián)盟賽結(jié)束后與父母一起來(lái)的小孩子。這些來(lái)到餐館的客戶類型就是你的流量基線,代表了客戶群的正常行為。
當(dāng)提及利用行為分析技術(shù)檢測(cè)惡意的網(wǎng)絡(luò)或應(yīng)用流量(包括潛在攻擊)時(shí),也會(huì)使用類似的原理。當(dāng)流量類型(如SYN)在總體流量中占比出現(xiàn)異常時(shí),行為分析引擎就會(huì)啟動(dòng)。如果在同一時(shí)間SYN流量總體速率超出了正常速率,高級(jí)安全解決方案就會(huì)將其認(rèn)定為攻擊,并攔截這一異常行為。
再以上述的餐館為例。如果在中午出現(xiàn)比例不尋常的年輕客戶,您可能需要加以關(guān)注。如果這些客戶的人數(shù)變的很多,甚至到了可能會(huì)耗盡必要資源(如年輕人喜愛(ài)的意大利面)的地步,那么您就要采取相應(yīng)的解決辦法了。
遺憾的是,并不是所有針對(duì)應(yīng)用或網(wǎng)站的攻擊類型都可以用這種方式檢測(cè)出來(lái)。DDoS攻擊可以被檢測(cè)出來(lái),而更高級(jí)的攻擊卻因沒(méi)有明顯的流量模型而無(wú)法被檢測(cè)。這些攻擊使用眾多試圖利用應(yīng)用代碼漏洞發(fā)起攻擊的惡意腳本,針對(duì)這類攻擊則需要不同類型的防護(hù)措施。很多這種類型的攻擊被收錄在開(kāi)放Web應(yīng)用安全項(xiàng)目(OWASP)中,防御這些攻擊通常需要Web應(yīng)用防火墻(WAF)。和任何安全技術(shù)一樣,不同的WAF產(chǎn)品在處理能力和方法上有所不同,最近Radware還發(fā)現(xiàn),許多攻擊都利用了用戶依靠IP地址確認(rèn)攻擊源的這一方法所存在的局限性。幸運(yùn)的是,高級(jí)WAF都在使用快速發(fā)展的設(shè)備指紋識(shí)別技術(shù),通過(guò)各種工具和方法(包括在客戶端運(yùn)行JavaScript)采集與數(shù)據(jù)源有關(guān)的、除IP之外的信息。設(shè)備指紋識(shí)別技術(shù)可以通過(guò)數(shù)十個(gè)用戶設(shè)備屬性識(shí)別Web工具實(shí)體,確認(rèn)并追蹤他們的活動(dòng),生成用戶行為和聲譽(yù)資料。因此可以隨著時(shí)間推移追蹤并確認(rèn)異常行為和潛在的惡意行為,進(jìn)而定義設(shè)備的風(fēng)險(xiǎn)程度。
為什么前面所介紹的技術(shù)措施都很重要呢?當(dāng)考慮到由機(jī)器人程序生成的流量所占的高比例(預(yù)計(jì)超過(guò)50%)時(shí),很顯然,企業(yè)在僵尸網(wǎng)絡(luò)(惡意或其他)識(shí)別方面的能力還需要進(jìn)一步的提升。多數(shù)的應(yīng)用DDoS、暴力破解、SQL注入等重大安全威脅大部分都會(huì)通過(guò)僵尸網(wǎng)絡(luò)執(zhí)行。僵尸網(wǎng)絡(luò)攻擊流量會(huì)給交易處理能力帶來(lái)不可預(yù)知的的、不必要的負(fù)擔(dān),因此,如果能夠更加精確地成功檢測(cè)并攔截機(jī)器人程序,這將給企業(yè)帶來(lái)更好的ROI。