防御DDoS攻擊的7個注意事項

隨著黑客們隱藏自己的手段愈發高明、攻擊招式更為兇狠，各行各業的安全領導者們需要盡快做好準備。

如果向全國各大主要銀行的CSO們詢問近幾個月來所遭遇過的分布式拒絕服務攻擊（簡稱DDoS），他們一定會三緘其口。沒錯，保持沉默正是安全人士的首選態度。

安全高管們從不愿意談論這些攻擊活動，因為他們不希望自己的言論使企業受到更多關注。他們甚至擔心光是提供防御策略的基本信息就足以吸引攻擊者前來并找到安全漏洞。

但很多企業在初次受到攻擊時就已經發現端倪，而安全管理者也需要針對惡意攻擊是否還將卷土重來給出答案。因此盡管CSO們不愿多談，但我們仍然希望能了解他們的處理態度。為了避免意外的麻煩，我們以不具名的形式轉述幾位CSO在工作中所親歷的情況，并探討原先一直奏效的安全策略為何最終折戟沉沙。

DDoS攻擊在過去幾年中的兇猛程度可謂史無前例，黑客行動主義者們清楚，金融服務網站一旦停機意味著每分鐘都將造成數百萬美元的業務損失。曾針對美國銀行、第一資本金融公司、大通銀行、花旗銀行、PNC銀行以及富國銀行的攻擊可謂冷酷無情而又精妙復雜，使得眾多安全高管甚至畏懼到不敢對細節進行深入討論。

“這些DDoS攻擊活動已經成為非常敏感的話題，我們現在無法進行公開討論，”某家太平洋西北部地區中型銀行的CISO如是說。

“企業通信部門目前禁止我們與媒體探討具體情況，高調聲張可能會導致公司成為更多攻擊者的關注目標，”某位美國東南部金融服務企業的安全負責人表示。

盡管二次世界大戰的宣傳海報曾經道出“言多必失”這一真理，但“知識就是力量”同樣是不容置疑的箴言，在現代業務技術系統的保護方面更是如此。毫無疑問，作為一位新興銀行組織的首席信息安全官，在遭遇首輪攻擊后選擇避而不談絕對有失水準。面對安全威脅，大家需要的是暢通的信息、新型攻擊資料以及防御體系發展趨勢，而這一切都需要良好的交流環境。

有人認為，監管部門、公共部門以及金融機構之間長期以來的緊張關系至少應該為網絡安全事故承擔一部分責任，因為企業正是由于這種矛盾而往往選擇大事化小、小事化了。

“推動協作與信息共享進程的最佳途徑在于確保機構之間能夠順利交流關于成功與失敗的任何信息，同時不會引發后續風波。如果一家機構在提交了攻擊活動報告后，監管部門反倒第一個跳出來準備進行處罰，那么沒人會愿意再把安全情況放到桌面上來談，”安永會計師事務所信息安全咨詢服務主管ChipTsantes指出。

談到最近興起的一股股DDoS攻擊波瀾，是否有能力識別出攻擊活動并迅速組織威脅應對手段成為決定事故結果的關鍵性因素。做到這兩點，企業就能保持自己的服務持續可用；一旦失敗，服務將只能被迫下線。

“最近這些DDoS攻擊發展勢頭非常迅猛，每次出現的新攻擊都采取與之前不同的實施策略，”IBM公司財務部門安全戰略專家LynnPrice表示。從本質上講，攻擊者的策略旨在提高自身攻擊能力，借助先進的基礎設施與應用程序指向工具并實現攻擊活動的自動化進行。

“他們的攻擊能力越來越復雜且難以捉摸，安全人員甚至很難發現到底哪些IT堆棧成為其攻擊目標，”她解釋道。

在這種環境下，保持沉默幾乎成了一種協助犯罪行為。因此盡管CSO們對于分享信息采取“非暴力不合作”態度，我們仍然設法通過一些內幕會議及采訪活動收集到一部分資料，借以了解安全專家原先是如何幫助這些受害企業構建防御機制的。通過這樣的方式，我們為各位讀者朋友總結出以下應對DDoS攻擊的訣竅。

為實時防御調整做好準備

“這些攻擊不僅指向多個目標，其具體戰術也在實時進行改變，”Arbor網絡美國公司解決方案架構師GarySockrider表示。攻擊者們會觀察站點的響應情況，并在站點重新上線之后立即組織新的攻擊方式。

“他們絕不會半途而廢，嘗試不同端口、不同協議或者從新的源頭實施攻擊，總之他們不達目的誓不罷休。戰術總是處于變化之中，”他指出。“企業用戶必須理解對手的這種快速靈活特性，并為之做好準備。”

不要僅僅依靠內部防御機制

在與所有采訪對象的交流中，我們發現傳統的內部安全體系——防火墻、入侵防御系統以及負載均衡機制——都無法阻止攻擊活動。

“我們親眼見證這些設備在攻擊面前被一一摧毀。得到的教訓非常簡單：只有在攻擊真正抵達這些設備前就加以扼制，我們才能真正緩和DDoS危機。安全設備同樣存在漏洞，其漏洞之多與我們想要保護的服務器本身并無二致，”Sockrider解釋稱。為了實現更理想的防御效果，我們必須依賴上游網絡運營商或托管安全服務供應商們的支持，他們的協助能將攻擊活動阻隔在網絡體系之外。

當面對大規模攻擊時，從上游開始抵御攻擊就顯得更加重要。

“如果我們的互聯網連接只能承載10GB數據傳輸量，而攻擊活動卻帶來100GB傳輸量，那么希望將其降低至10GB的任何努力都將是徒勞的，因為上游導入的信息總量已經注定了服務崩潰的悲慘命運，”Sockrider總結道。

在內部撲滅應用程序層攻擊

指向特定應用程序的攻擊活動一般比較隱蔽，規模較小而且更有針對性。

“這類攻擊著力改進自身隱蔽性，因此我們需要在內部或者數據中心體系中實施保護，這樣才能實現深度包檢測并掌握應用程序層中的全部情況。這是緩解這類攻擊的最佳方式，”Sockrider告訴我們。

協作

銀行業已經在遭遇攻擊時采取了一定程度的協作機制。他們所披露的一切信息都會受到嚴格保護，并只與內部同行進行分享。這種結合了限制機制的協作途徑讓銀行業在安全協作方面的表現優于大多數其它行業。

“他們與其它銀行同仁及電信供應商開展交流，而且直接與服務供應商展開合作。當然，他們別無選擇，因為單憑自己的力量根本無法在嚴酷的安全世界中生存下來，”Price指出。

他們還向金融服務信息共享及分析中心尋求技術支持，并與其分享自己的安全威脅信息。

“在這類信息交流會議上，有一些大型銀行采取非常開放的溝通態度，積極與他人分享自身所遭遇的安全威脅以及切實有效的處理方案。通過這種方式，大型銀行至少打開了溝通渠道，”Akamai技術公司金融服務部門首席戰略專家RichBolstridge評價稱。

金融行業的戰略視角可以也應該被廣泛推廣到各行各業當中。

提前準備應急預案

企業必須努力預測應用程序及網絡服務可能面臨的安全威脅，并通過制定安全應急預案來緩解這些攻擊所造成的后果。

“企業應該將注意力集中在攻擊本身，并提前制定規劃以部署響應流程。他們還可以匯總內部攻擊信息并將其提供給供應商，從而形成同仇敵愾的攻擊對抗聯盟，”Tsantes建議道。

IBM公司的Price對此也表示贊同。

“企業需要組織起更理想的響應措施。他們需要將內部應用程序團隊與網絡團隊進行整合，幫助技術人員了解攻擊活動出現時應如何做出響應，這樣才不至于由于慌亂而導致坐以待斃的狀況。由于攻擊者們越來越狡猾，金融機構也要快速成長才能跟上形勢，”她進一步解釋道。

目前，許多大型金融機構已經開始著手強化DDoS防御體系，但觀察家們擔心攻擊者會將攻擊目標轉移到規模較小的銀行、信用社甚至其它行業身上。

“多輪攻擊活動的肆虐已經引起了某些地區銀行管理層的高度重視，他們開始積極幫助企業做好應對準備，這也算是惡意事故的正面影響，”大西洋中部地區某家銀行的IT安全官評論稱。

“而受到大型機構的啟發，很多規模較小的銀行也開始著手籌備，因為他們已經意識到自己同樣可能成為攻擊活動的下一個目標，并由于擔憂而激發出強大的主觀能動性，”Bolstridge指出。

Pirce則解釋稱，這意味著大多數企業都將更多依賴于服務供應商與管理安全服務供應商所提供的支持。

“他們需要對自家系統做出彈性評估，并確保其服務供應商已經準備好應對潛在攻擊并能為其提供足夠的保護，”她總結稱。

當心次要攻擊

由于攻擊活動的組織成本不斷提高，某些惡意侵襲甚至有可能成為規模更大、手段更兇猛的安全威脅的掩護活動。

“DDoS攻擊還可能充當一種障眼法，旨在為其它更為險惡的攻擊提供掩護。銀行一定得明白，他們不僅需要監測并防御DDoS攻擊，同時也必須時刻當心嘗試竊取賬戶或其它敏感信息的次要攻擊——雖然名為‘次要’，但這才是犯罪分子的真正目的，”Price表示。

非銀行業也需要警惕

雖然目前大部分攻擊活動都集中在金融領域，但專家們提醒稱其它行業同樣有可能受到波及。

“我們不希望看到這種級別的攻擊出現在醫療保健等其它行業，因為這些行業由于缺乏成為攻擊目標的心態而很少配備充分的保護措施，”Bolstridge提醒道。“希望大家能將此視為安全警鐘，并以適當方式評估自身面臨的風險。”

而信息共享正是攻擊活動中的重要環節。

“攻擊者們彼此之間當然也會共享信息。事實上，只有第一位攻擊者才是真正的技術天才，其他人則只能稱為跟風而上的受益者，”他總結道。

壞家伙們的行事方式也應當成為好人們的行為準則。信息共享、攜手合作，這才是對抗惡意活動的絕佳方式。