中國. 北京 2月21日 -大家普遍認(rèn)為大帶寬的網(wǎng)絡(luò)攻擊會嚴(yán)重毀壞企業(yè)網(wǎng)絡(luò),但實際情況卻與此大相徑庭,來自全球領(lǐng)先的虛擬數(shù)據(jù)中心和云數(shù)據(jù)中心應(yīng)用交付及應(yīng)用安全解決方案提供商Radware (NASDAQ: RDWR)的安全專家發(fā)現(xiàn),其實那些個子不大、力氣不小的低量攻擊包更容易為企業(yè)制造大麻煩。以上信息源于Radware“2011年全球應(yīng)用與網(wǎng)絡(luò)安全報告”,該報告涵蓋了眾多安全新發(fā)現(xiàn),為企業(yè)了解全球網(wǎng)絡(luò)安全現(xiàn)狀提供了一個新視角。
該報告中的新發(fā)現(xiàn)指出了業(yè)界對分布式拒絕服務(wù)(DDoS)攻擊危害認(rèn)知中存在的多個誤區(qū)。報告特別指出:即使當(dāng)下很多攻擊都給企業(yè)帶來了災(zāi)難性的破壞,但其實大多數(shù)公司從來未曾遭遇到大規(guī)模的激烈進攻。反而是有些小型的,并不激烈的攻擊(調(diào)查發(fā)現(xiàn)76%的攻擊都小于1G)所造成的危害遠(yuǎn)遠(yuǎn)大于相比能吞噬超過它10倍帶寬的大型的DDoS攻擊。
這份報告由Radware應(yīng)急響應(yīng)團隊(ERT)完成,主要內(nèi)容是一項針對各行業(yè)企業(yè)安全專家展開的安全調(diào)查,以及ERT對其經(jīng)手的多個精選案例所做的分析。其中,ERT從專業(yè)的和具有教育意義的角度剖析了曾經(jīng)處理過的攻擊的類型、受害者,并介紹了能夠緩解攻擊的網(wǎng)絡(luò)安全技術(shù)的概況。
Radware ERT是一個由專業(yè)安全顧問組成的團隊,他們24小時隨時待命以幫助客戶在第一時間解決最棘手的安全問題。顧名思義,他們是化解網(wǎng)絡(luò)攻擊的第一道防線。截至到目前為止,Radware ERT專家已經(jīng)成功處理了多起知名的網(wǎng)絡(luò)攻擊事件,擁有扎實的專業(yè)知識,積累了豐富的實戰(zhàn)應(yīng)對經(jīng)驗,可以幫助客戶輕松處理自身安全團隊未曾遇到過的安全問題。通過該報告,ERT向大家展現(xiàn)了他們是如何以實戰(zhàn)經(jīng)驗來阻止每一次的網(wǎng)絡(luò)攻擊,對比單一的調(diào)查結(jié)果或者專業(yè)機構(gòu)的研究報告,他們提供了更為可靠的實戰(zhàn)經(jīng)驗論據(jù)。
打破誤區(qū)
報告顯示,雖然有部分企業(yè)確實經(jīng)歷過龐大的DDoS攻擊,但是大多數(shù)并沒有碰到過真正的巨量型攻擊。相反,很多企業(yè)網(wǎng)絡(luò)都是被具有同樣破壞力的、小密度的攻擊拿下的。如前面提到的,76%的攻擊的帶寬小于1G,其中32%的攻擊帶寬甚至不到10M。而2011年全年發(fā)生的所有攻擊中只有9%的帶寬大于10G。
回顧以往的網(wǎng)絡(luò)攻擊案例,我們發(fā)現(xiàn)業(yè)界的報道將公眾帶入了一個以攻擊規(guī)模來判斷威脅大小的誤區(qū)。很多人都認(rèn)為如果攻擊所占的帶寬越大,那就說明這個攻擊更具威脅。事實上,Radware ERT發(fā)現(xiàn)攻擊的類型也是判斷其破壞力的指標(biāo)。例如,遭遇一次針對應(yīng)用層的規(guī)模較小的HTTP洪水攻擊對企業(yè)形成的危害遠(yuǎn)遠(yuǎn)大于一次以網(wǎng)絡(luò)層為目標(biāo)的大型UDP洪水攻擊。所以當(dāng)我們評估DoS攻擊時,需要將其類型和規(guī)模都納入考慮的范圍。
Radware安全報告還指出了了更多的安全誤區(qū):
•誤區(qū)一:僅僅依靠防火墻或IPS就能阻止DDoS攻擊——雖然防火墻和入侵防御系統(tǒng)(IPS)就是為了保護網(wǎng)絡(luò)安全而存在,但在 DDoS攻擊面前,它們卻沒有辦法發(fā)揮所長。其中以防火墻的防護能力最為薄弱。根據(jù)報告顯示,在32%的DDoS攻擊中,防火墻和IPS的作用如同雞肋。所以,要防止DDoS攻擊,企業(yè)還需使用專門的硬件解決方案,而不能只指望IPS和防火墻技術(shù)。
•誤區(qū)二:內(nèi)容分發(fā)網(wǎng)絡(luò)(CDN)服務(wù)供應(yīng)商能幫助業(yè)務(wù)遠(yuǎn)離DDoS攻擊——CDN只是偶爾能夠通過吸收化解部分不太復(fù)雜和規(guī)模較小的攻擊(一旦它被認(rèn)可為合法流量,客戶就需要為這一部分帶寬付費)。無論如何,我們從近期試圖擊潰以色列金融系統(tǒng)和國家航空的攻擊中看到,通過修改每一個Web事務(wù)中的頁面請求就能夠繞過CDN。而這些看似隨機的請求迫使CDN打開大門,將攻擊流量直接送往客戶的網(wǎng)絡(luò)邊界,從根本上讓CDN如同代理絲毫不能卸載針對目標(biāo)服務(wù)器發(fā)起的攻擊流量。
•誤區(qū)三:核心的DoS緩解策略是防護與化解——通過采取系列防范措施,企業(yè)有能力阻止惡意攻擊以及防范針對網(wǎng)站的各種蓄意破壞活動。這也改變了長期以來黑客占據(jù)優(yōu)勢的局面,使雙方的“競技”水平不斷提升。通過識別攻擊活動中的攻擊工具,發(fā)現(xiàn)和利用它自身的弱點,就可以變被動為主動,消除攻擊工具所帶來的危害。
Radware首席技術(shù)官Avi Chesla表示:“網(wǎng)絡(luò)安全現(xiàn)狀隨著每一次出現(xiàn)的攻擊浪潮而不斷發(fā)生改變,DoS和DDoS攻擊也在利用更多技巧和手段來對付攻擊目標(biāo)。Radware “2011年全球應(yīng)用和網(wǎng)絡(luò)安全報告”證實了在過去兩年中所有嚴(yán)重的網(wǎng)絡(luò)攻擊活動中,既有體積龐大的大型攻擊,也有溫水煮青蛙式的“小而慢”型的攻擊,它們一般同時存在。”
Chesla還表示:“大多數(shù)互聯(lián)網(wǎng)網(wǎng)站自身都存在漏洞,這就使得企業(yè)無法準(zhǔn)確預(yù)計自己的網(wǎng)站是否會被攻擊,以及可能遭遇的攻擊規(guī)模。企業(yè)需要依靠使用最先進的防護和攻擊演習(xí)來對抗這些可以確定的網(wǎng)絡(luò)犯罪行為,同時了解當(dāng)前錯綜復(fù)雜的攻擊現(xiàn)狀。”
報告中提到的其他相關(guān)信息:
•56%的網(wǎng)絡(luò)攻擊以應(yīng)用層為目標(biāo);46 %以網(wǎng)絡(luò)層為目標(biāo)。
•金融服務(wù)(28%)、政府和線上博彩(各占25%)網(wǎng)站最容易受到攻擊。
•半數(shù)攻擊中,企業(yè)并不知道他們?yōu)楹纬蔀槭芎φ摺F渲?2%是源于“黑客主義分子”的政治和社會目的;12%來源于不滿的用戶;7%來源于競爭對手;4%是因為黑客希望企業(yè)付費以保全自己的網(wǎng)站。
•在 2011年,DoS攻擊已經(jīng)變得更具組織性和專業(yè)性,并且更加復(fù)雜,攻擊者往往在一次攻擊活動中采用5種不同的攻擊方式發(fā)起混合進攻。沒有一個單點安全工具能夠有效阻止當(dāng)前這些復(fù)雜和多層的攻擊。企業(yè)需要一種雞尾酒式的混合安全技術(shù)來為自己的網(wǎng)絡(luò)和業(yè)務(wù)提供全面的安全保護。
如何化解網(wǎng)絡(luò)攻擊?
Radware ERT向企業(yè)推薦以下措施,可以有效防止DoS和DDoS攻擊:
1.收集相關(guān)攻擊的所有信息,比如攻擊的類型、大小和頻率。利用正確的方式衡量不同類型的攻擊。例如,準(zhǔn)確衡量UDP洪水攻擊的依據(jù)是帶寬和PPS,而衡量HTTP洪水攻擊的依據(jù)則是查看每秒的事務(wù)量,并發(fā)連接數(shù)和每秒產(chǎn)生的新的連接數(shù)。UDP洪水攻擊也許看起更加龐大和危險,但是基于HTTP接入的攻擊卻能以很小的流量制造比UDP攻擊大得多的破壞。
2.基于業(yè)務(wù)層面進行風(fēng)險分析,以制定用于提升業(yè)務(wù)穩(wěn)定性對抗DDoS攻擊的預(yù)算。
3.應(yīng)對帶寬飽和攻擊,請確保您的服務(wù)供應(yīng)商能夠提供相應(yīng)的緩解保護。
4.應(yīng)對應(yīng)用攻擊,請在企業(yè)網(wǎng)絡(luò)中配置防DoS和網(wǎng)絡(luò)行為分析技術(shù)。
5.通過一個安全事件與信息管理(SEIM)系統(tǒng),從一個整體的,或者“內(nèi)容感知”的視角了解你企業(yè)的安全狀態(tài)。SEIM系統(tǒng)可建立一個集中式的架構(gòu)以簡化監(jiān)測安全邊緣設(shè)備生成的上百萬條信息與日志記錄這類任務(wù)。同樣,當(dāng)企業(yè)想要追究某個入侵者責(zé)任的時候,SEIM也是必不可少的。
6.內(nèi)部安全教育同樣是重要的防御工具。定期提升安全團隊的專業(yè)技能和能力非常關(guān)鍵;同樣必需讓員工意識到黑客會利用企業(yè)網(wǎng)絡(luò)暴露出來的一切漏洞,特別是在個人移動接入設(shè)備風(fēng)行的時代。