圖片來源: 
新世代DDoS防護-參考結構(圖片來源/F5台灣暨香港區資深技術總監莊龍源)

 作者  F5台灣暨香港區資深技術總監莊龍源

甫開年,似乎就已經預告了,今年對於各大企業的資訊安全防護而言,會是充滿考驗的一年。光是春節封關後,就已經有10家證券商遭受到DDoS攻擊,影響層面高達百億元。

可是,從1988年DDoS攻擊首次出現,迄今已經近30年了,為什麼在許多知名病毒、惡意程式或蠕蟲都銷聲匿跡的狀況下,它依然是駭客們最常用的攻擊手法呢?原因無他,因為DDoS可以用合法掩護非法,利用企業必須開放的網路應用服務,發動大量且難以辨識的攻擊封包。

基於四種主要型態而成,卻變化出難以阻擋的攻擊

在各式各樣的網路攻擊中,DDoS可說是亙古不衰的攻擊手法,同時在不斷演進之下,從單純的網路封包攻擊,已然形成可以潛藏在合法路徑中,成為企業難以抵擋的問題。

這時,企業所需要的安全防護,是能夠完整檢視所有未加密及已加密的封包,具有多樣化的反制手法及規章,同時,能夠全面過濾並即時反應,這樣才能縮短資安團隊的反應空窗期,減少不必要的損害。

一般而言,DDoS的主要攻擊型態有四種:流量攻擊、非對稱式攻擊、資源消耗攻擊,以及漏洞攻擊。

而且,每一次DDoS攻擊所包含的,並不一定只有一種類型,甚至也可能成為其他攻擊的前導,因此,每個駭客所發動的攻擊,都有可能是不一樣類型的,千變萬化難以捉摸。

更重要的是,現在無論大小企業都相當仰賴網路服務,作為對外溝通或是內部聯繫的管道,有了安全,可能就沒了便利,然而,開放太多服務,就好像引狼入室一般。這也就是為什麼許多企業談到DDoS,就為之頭痛,卻又無法有效遏阻的原因。

此外,在過去,利用高階防火牆或應用程式防火牆,曾經在網路邊界甚至是ISP端,有效阻擋了DDoS攻擊,縱然有任何異常,都可以在短時間內排除,著實令大家有好幾晚好睡的日子。但是,就從今年初世界各地不斷傳出的DDoS攻擊事件當中,我們可以發現:其實,它們一直都沒離開過,只是靜待時機爆發而已。

一般而言,DDoS攻擊的運作,主要是隨機採行分散式作業攻擊模式,如果鎖定的目標受到癱瘓後,分布在全球的其他伺服器將進行接管,並繼續提供IP網域名稱服務,除了對企業產生極大的攻擊衝擊效應,其背後的機制,更讓人真正感到恐懼。(圖片來源/F5台灣暨香港區資深技術總監莊龍源)

相乘應用,相乘風險

應用程式的興起是業務戰略的關鍵,卻也進一步加劇了網絡攻擊的增加現象。

在亞太地區尤其如此,許多人將應用看作是他們日常生活中必需的工具和資源。應用程式真正無處不在,它跨越個人、企業、行動和桌面,資料中心和雲端之間的邊界。同樣地,業務資料也會遍歷這些邊界,因此,最終在任何地方、遍布多個設備。

在這種由應用程式驅動的用戶環境中,IT團隊無疑面臨著令人畏懼的挑戰。因為,對於受到極端保護的所有數據而言,幾乎全天候戴著虛擬的眼罩,不知道危險來自哪裡。

此外,它們更在方便性和可用性之間,不斷被要求需發揮保護平衡的極限。大多數網際網路的用戶都知道,可用性和便利性往往與網絡安全的質量和水平,成反比的關係。在諸如雙因素認證(2FA)的高度安全措施變得普遍之前,客戶往往因為由多層帳戶保護所導致的感知不便,而遲遲不肯導入。

傳統安全產品往往只能解決有限的安全問題

在傳統的保護方法當中,試圖把眾多單獨的產品拼湊到一起,例如,同時結合DDoS設備、DNS設備、Web應用防火牆,以及負載平衡器。這種方法增加了架構的複雜性和處理的延遲度,並在網路中添加了故障點。

因此,企業需要的是單一平臺的多重防護,例如,以我所任職的F5公司而言,所提供的部分,是一套動態的、多層次的安全解決方案,而且,這個平臺,是在一套通用系統架構上,以軟體服務方式提供了多重安全解決方案。

其實,這樣的統合式安全架構並不等於One Box,也不等於UTM。我們認為,它的核心架構的基礎是高可用性,而且,在設備的使用上,分為兩層-有-一層設備專門處理OSI架構第三層(網路層),另一層設備則處理OSI的四到七層,並且,在點對點之間具備了高度的延展性,能夠阻止單點故障的發生。

從系統營運上來說,這樣的架構還能明顯降低成本。傳統來說,企業構建三層的防禦體系,要跟很多供應商打交道,像前端的防火牆,中間的IPS/IDS,最後則是WAF等,對於維運人員而言,至少要學五六個廠商的產品解決方案,以及管理介面。若改用統一安全架構平臺的綜合性,可以減少備件,同時減少培訓並簡化運營。

企業若能具備高度感知與智慧型的偵測防禦機制,才能掌握百變莫測的DDoS攻擊傀儡,以及高度險惡的詐欺活動。(圖片來源/F5台灣暨香港區資深技術總監莊龍源)

具備全面安全防護機制,才能有效防禦DDoS狙殺攻擊

在全球資安威脅事件不斷發生下,企業資安意識明顯比過去提升許多,因此,在不少公司的內部,多半都有傳統DDoS防禦主機,但該類設備因缺乏應用程式可視性,只能夠阻擋L3、L4的網路攻擊,以致於在駭客組織走向精準攻擊的趨勢下,無力阻擋針對應用主機、DNS等第七層的攻擊封包。

為此,資安人員被迫購買可偵測第7層DDoS攻擊的網路應用程式防火牆(Web Application Firewall,WAF),又在大流量DDoS攻擊與日俱增下,再搭配網路清洗中心的服務。

然而,此種疊床架屋的DDoS防禦架構,很容易在各品牌之間出現相容性的問題,會影響到DDoS攻擊的防禦能力,更因各種產品管理與操作介面迥異,反而徒增資安人員的工作負擔,讓資安預算無法發揮應有效益。

因此,在「企業全面性防護」與「企業安全支出」之間,企業如何取得平衡?我們建議,企業應掌握下列要訣。

首先,是持續修補安全弱點,包括實體和虛擬,並增加攻擊者的成本。

其次,採用高感知應用的狀態下,與被保護的應用互動,可以實現防禦體系和防禦物件之間的配合,用最小的技術投入,增加攻擊者的成本,以顛覆性的作法,解決用戶防禦成本的困惑。

最後,將防禦機制建構在業務資料存取流程之上,在終端使用者沒有任何覺察的情況下,實現終端屬性判斷,進而阻斷基於應用層的攻擊。

利用7/24 無休應用層的防禦,建構DDoS攻擊全面篩檢

以目前來看,DDoS攻擊在第7層DDoS占比,已經超過一半。而且,有別於網路層的DDoS攻擊,應用層的DDoS針對的部分是企業的弱點,而且,無論是耗盡型、延遲類,或是利用漏洞和Web應用弱點的DDoS攻擊,都是如此。

此外,傳統的三層防護體系,針對應用層DDoS攻擊的來襲,顯然捉襟見肘。因為,應用層的DDoS防禦建構在所有的防護體系後面,而且是應用伺服器的前端,由於身處特殊的位置,所以能對所有的資料全面篩檢的能力,例如,以我們公司最近推出的Herculon DDoS Hybrid Defender為例,能夠根據雲端更新的資料庫,隨時比對分析流經過的所有封包,並且可以協助後端伺服器防堵各項系統漏洞,讓所有惡意封包無所遁形。

將應用系統放在安全營運中心,也是企業可以採用的做法。以F5 提出的Silverline新世代混合型DDoS防禦架構為例,它整合主機防禦與雲端清洗中心,不會面臨多品牌相容性的問題,本身也能偵測與阻斷L3、L4、DNS、L7等不同類型的DDoS攻擊,以及常見SQL 插入式攻擊、OWASP 前十大應用程式風險、跨站臺指令碼(XSS),以及駭客組織慣用的零時網路應用程式攻擊等,而且,在防禦政策一致的狀況下,兩者之間的溝通非常順暢,能有效阻斷各種類型的DDoS攻擊。

在這個安全營運中心當中,提供全天候不中斷資安監控平臺,能隨時觀察全球網路環境的變化,一旦發現有異常流量發生,便會立即進行分析與找出解決之道。隨時提供攻擊特徵碼簽章更新的服務,也是保障企業安全的有效策略,讓企業享有最新情報和技術,確保商業應用服務的穩定與可用性。

提升資安可視性,揭開最後一塊黑布

如果企業遭遇的DDoS攻擊,是沒有加密且採用標準協定的類型,其實都是比較容易過濾,所考驗的大多是設備效能與處理能力。但真正令人頭痛的,反而是為了安全所建立的加密封包。

為了避免傳輸重要資料時遭到竊聽或竄改,企業都會利用加密方式確保兩端的傳輸健全性。但這也替資安設備帶來另一層問題:要怎麼解析加密的封包?我們固然可以用先解密、後檢查的方式處理,但這只是讓安全瓶頸往後移入企業安全區域中,不但增加安全風險,也讓後方伺服器的負擔加重,並不是一項好的作法。

畢竟要能夠兼顧服務品質與穩定性,又不過度投資的狀況下,比較好的作法,還是應該在伺服器前端,先行過濾各種資料,只讓真正合乎規範且安全的封包進入後方伺服器區,這樣才能達到最有效益的投資平衡。

因此,我們認為,新一代的網路防護設備,不但要具備高效能的流量處理能力,同時也要能夠支援從第三層至第七層的封包解析與處理能力,最重要的是,能夠透視檢查加密過的封包,這樣才能避免有害封包順著合法的網路通訊協定,滲透到伺服器區,進而確保網路服務的穩定與安全。

建構更有深度的防禦體系

整合型網路防護設備是過去幾年的發展方向,但是,盡數將解決方案堆到網路邊界的設備上,並不是聰明之舉。雖然軟體可以不斷更新,但是,硬體效能上總是有一定的限制存在。所以,我們必須要重新思考的是,如何建立起新一代的資訊安全防護體系。

就目前而言,新一代的防護體系,已經不局限在網路邊界處,而是將防禦縱深往外推進。

在網路邊界端,可以採用多臺專用設備共同過濾家門口的有害封包,同時,也要整合雲端服務,透過雲端服務所整理分析的結果,無論是在ISP端,或是直接套用比對資訊過濾,都可以減輕網路邊界的負載量,同時集中眾人之力,達到更好的過濾功效。

此外,還需要有一組專家團隊,他們的經驗豐富,且隨時可以提供技術支援。在任何攻擊行為產生之前,由他們先行分析過濾,甚至預判可能的風險,並且提供各項建議解決方案,如此才能料敵機先,決戰於千里之外。

要做好資安防護,我們必須能夠因應未來可能的攻擊流量,利用自動偵測與辨識的方式過濾,並搭配完善的管理政策,才能讓環境更加安全。(圖片來源/F5台灣暨香港區資深技術總監莊龍源)

作者簡介


Advertisement

更多 iThome相關內容