大家普遍認(rèn)為大帶寬的網(wǎng)絡(luò)攻擊會(huì)嚴(yán)重毀壞企業(yè)網(wǎng)絡(luò),但實(shí)際情況卻與此大相徑庭,來(lái)自全球領(lǐng)先的虛擬數(shù)據(jù)中心和云數(shù)據(jù)中心應(yīng)用交付及應(yīng)用安全解決方案提供商Radware (NASDAQ: RDWR)的安全專家發(fā)現(xiàn),其實(shí)那些個(gè)子不大、力氣不小的低量攻擊包更容易為企業(yè)制造大麻煩。以上信息源于Radware“2011年全球應(yīng)用與網(wǎng)絡(luò)安全報(bào)告”,該報(bào)告涵蓋了眾多安全新發(fā)現(xiàn),為企業(yè)了解全球網(wǎng)絡(luò)安全現(xiàn)狀提供了一個(gè)新視角。
該報(bào)告中的新發(fā)現(xiàn)指出了業(yè)界對(duì)分布式拒絕服務(wù)(DDoS)攻擊危害認(rèn)知中存在的多個(gè)誤區(qū)。報(bào)告特別指出:即使當(dāng)下很多攻擊都給企業(yè)帶來(lái)了災(zāi)難性的破壞,但其實(shí)大多數(shù)公司從來(lái)未曾遭遇到大規(guī)模的激烈進(jìn)攻。反而是有些小型的,并不激烈的攻擊(調(diào)查發(fā)現(xiàn)76%的攻擊都小于1G)所造成的危害遠(yuǎn)遠(yuǎn)大于相比能吞噬超過(guò)它10倍帶寬的大型的DDoS攻擊。
這份報(bào)告由Radware應(yīng)急響應(yīng)團(tuán)隊(duì)(ERT)完成,主要內(nèi)容是一項(xiàng)針對(duì)各行業(yè)企業(yè)安全專家展開(kāi)的安全調(diào)查,以及ERT對(duì)其經(jīng)手的多個(gè)精選案例所做的分析。其中,ERT從專業(yè)的和具有教育意義的角度剖析了曾經(jīng)處理過(guò)的攻擊的類型、受害者,并介紹了能夠緩解攻擊的網(wǎng)絡(luò)安全技術(shù)的概況。
Radware ERT是一個(gè)由專業(yè)安全顧問(wèn)組成的團(tuán)隊(duì),他們24小時(shí)隨時(shí)待命以幫助客戶在第一時(shí)間解決最棘手的安全問(wèn)題。顧名思義,他們是化解網(wǎng)絡(luò)攻擊的第一道防線。截至到目前為止,Radware ERT專家已經(jīng)成功處理了多起知名的網(wǎng)絡(luò)攻擊事件,擁有扎實(shí)的專業(yè)知識(shí),積累了豐富的實(shí)戰(zhàn)應(yīng)對(duì)經(jīng)驗(yàn),可以幫助客戶輕松處理自身安全團(tuán)隊(duì)未曾遇到過(guò)的安全問(wèn)題。通過(guò)該報(bào)告,ERT向大家展現(xiàn)了他們是如何以實(shí)戰(zhàn)經(jīng)驗(yàn)來(lái)阻止每一次的網(wǎng)絡(luò)攻擊,對(duì)比單一的調(diào)查結(jié)果或者專業(yè)機(jī)構(gòu)的研究報(bào)告,他們提供了更為可靠的實(shí)戰(zhàn)經(jīng)驗(yàn)論據(jù)。
打破誤區(qū)
報(bào)告顯示,雖然有部分企業(yè)確實(shí)經(jīng)歷過(guò)龐大的DDoS攻擊,但是大多數(shù)并沒(méi)有碰到過(guò)真正的巨量型攻擊。相反,很多企業(yè)網(wǎng)絡(luò)都是被具有同樣破壞力的、小密度的攻擊拿下的。如前面提到的,76%的攻擊的帶寬小于1G,其中32%的攻擊帶寬甚至不到10M。而2011年全年發(fā)生的所有攻擊中只有9%的帶寬大于10G。
回顧以往的網(wǎng)絡(luò)攻擊案例,我們發(fā)現(xiàn)業(yè)界的報(bào)道將公眾帶入了一個(gè)以攻擊規(guī)模來(lái)判斷威脅大小的誤區(qū)。很多人都認(rèn)為如果攻擊所占的帶寬越大,那就說(shuō)明這個(gè)攻擊更具威脅。事實(shí)上,Radware ERT發(fā)現(xiàn)攻擊的類型也是判斷其破壞力的指標(biāo)。例如,遭遇一次針對(duì)應(yīng)用層的規(guī)模較小的HTTP洪水攻擊對(duì)企業(yè)形成的危害遠(yuǎn)遠(yuǎn)大于一次以網(wǎng)絡(luò)層為目標(biāo)的大型UDP洪水攻擊。所以當(dāng)我們?cè)u(píng)估DoS攻擊時(shí),需要將其類型和規(guī)模都納入考慮的范圍。
Radware安全報(bào)告還指出了了更多的安全誤區(qū)
• 誤區(qū)一:僅僅依靠防火墻或IPS就能阻止DDoS攻擊——雖然防火墻和入侵防御系統(tǒng)(IPS)就是為了保護(hù)網(wǎng)絡(luò)安全而存在,但在 DDoS攻擊面前,它們卻沒(méi)有辦法發(fā)揮所長(zhǎng)。其中以防火墻的防護(hù)能力最為薄弱。根據(jù)報(bào)告顯示,在32%的DDoS攻擊中,防火墻和IPS的作用如同雞肋。所以,要防止DDoS攻擊,企業(yè)還需使用專門的硬件解決方案,而不能只指望IPS和防火墻技術(shù)。
• 誤區(qū)二:內(nèi)容分發(fā)網(wǎng)絡(luò)(CDN)服務(wù)供應(yīng)商能幫助業(yè)務(wù)遠(yuǎn)離DDoS攻擊——CDN只是偶爾能夠通過(guò)吸收化解部分不太復(fù)雜和規(guī)模較小的攻擊(一旦它被認(rèn)可為合法流量,客戶就需要為這一部分帶寬付費(fèi))。無(wú)論如何,我們從近期試圖擊潰以色列金融系統(tǒng)和國(guó)家航空的攻擊中看到,通過(guò)修改每一個(gè)Web事務(wù)中的頁(yè)面請(qǐng)求就能夠繞過(guò)CDN。而這些看似隨機(jī)的請(qǐng)求迫使CDN打開(kāi)大門,將攻擊流量直接送往客戶的網(wǎng)絡(luò)邊界,從根本上讓CDN如同代理絲毫不能卸載針對(duì)目標(biāo)服務(wù)器發(fā)起的攻擊流量。
• 誤區(qū)三:核心的DoS緩解策略是防護(hù)與化解——通過(guò)采取系列防范措施,企業(yè)有能力阻止惡意攻擊以及防范針對(duì)網(wǎng)站的各種蓄意破壞活動(dòng)。這也改變了長(zhǎng)期以來(lái)黑客占據(jù)優(yōu)勢(shì)的局面,使雙方的“競(jìng)技”水平不斷提升。通過(guò)識(shí)別攻擊活動(dòng)中的攻擊工具,發(fā)現(xiàn)和利用它自身的弱點(diǎn),就可以變被動(dòng)為主動(dòng),消除攻擊工具所帶來(lái)的危害。
Radware首席技術(shù)官Avi Chesla表示:“網(wǎng)絡(luò)安全現(xiàn)狀隨著每一次出現(xiàn)的攻擊浪潮而不斷發(fā)生改變,DoS和DDoS攻擊也在利用更多技巧和手段來(lái)對(duì)付攻擊目標(biāo)。Radware “2011年全球應(yīng)用和網(wǎng)絡(luò)安全報(bào)告”證實(shí)了在過(guò)去兩年中所有嚴(yán)重的網(wǎng)絡(luò)攻擊活動(dòng)中,既有體積龐大的大型攻擊,也有溫水煮青蛙式的“小而慢”型的攻擊,它們一般同時(shí)存在。”
Chesla還表示:“大多數(shù)互聯(lián)網(wǎng)網(wǎng)站自身都存在漏洞,這就使得企業(yè)無(wú)法準(zhǔn)確預(yù)計(jì)自己的網(wǎng)站是否會(huì)被攻擊,以及可能遭遇的攻擊規(guī)模。企業(yè)需要依靠使用最先進(jìn)的防護(hù)和攻擊演習(xí)來(lái)對(duì)抗這些可以確定的網(wǎng)絡(luò)犯罪行為,同時(shí)了解當(dāng)前錯(cuò)綜復(fù)雜的攻擊現(xiàn)狀。”
報(bào)告中提到的其他相關(guān)信息
• 56%的網(wǎng)絡(luò)攻擊以應(yīng)用層為目標(biāo);46 %以網(wǎng)絡(luò)層為目標(biāo)。
• 金融服務(wù)(28%)、政府和線上博彩(各占25%)網(wǎng)站最容易受到攻擊。
• 半數(shù)攻擊中,企業(yè)并不知道他們?yōu)楹纬蔀槭芎φ摺F渲?2%是源于“黑客主義分子”的政治和社會(huì)目的;12%來(lái)源于不滿的用戶;7%來(lái)源于競(jìng)爭(zhēng)對(duì)手;4%是因?yàn)楹诳拖M髽I(yè)付費(fèi)以保全自己的網(wǎng)站。
• 在 2011年,DoS攻擊已經(jīng)變得更具組織性和專業(yè)性,并且更加復(fù)雜,攻擊者往往在一次攻擊活動(dòng)中采用5種不同的攻擊方式發(fā)起混合進(jìn)攻。沒(méi)有一個(gè)單點(diǎn)安全工具能夠有效阻止當(dāng)前這些復(fù)雜和多層的攻擊。企業(yè)需要一種雞尾酒式的混合安全技術(shù)來(lái)為自己的網(wǎng)絡(luò)和業(yè)務(wù)提供全面的安全保護(hù)。
如何化解網(wǎng)絡(luò)攻擊?
Radware ERT向企業(yè)推薦以下措施,可以有效防止DoS和DDoS攻擊:
1. 收集相關(guān)攻擊的所有信息,比如攻擊的類型、大小和頻率。利用正確的方式衡量不同類型的攻擊。例如,準(zhǔn)確衡量UDP洪水攻擊的依據(jù)是帶寬和PPS,而衡量HTTP洪水攻擊的依據(jù)則是查看每秒的事務(wù)量,并發(fā)連接數(shù)和每秒產(chǎn)生的新的連接數(shù)。UDP洪水攻擊也許看起更加龐大和危險(xiǎn),但是基于HTTP接入的攻擊卻能以很小的流量制造比UDP攻擊大得多的破壞。
2. 基于業(yè)務(wù)層面進(jìn)行風(fēng)險(xiǎn)分析,以制定用于提升業(yè)務(wù)穩(wěn)定性對(duì)抗DDoS攻擊的預(yù)算。
3. 應(yīng)對(duì)帶寬飽和攻擊,請(qǐng)確保您的服務(wù)供應(yīng)商能夠提供相應(yīng)的緩解保護(hù)。
4. 應(yīng)對(duì)應(yīng)用攻擊,請(qǐng)?jiān)谄髽I(yè)網(wǎng)絡(luò)中配置防DoS和網(wǎng)絡(luò)行為分析技術(shù)。
5. 通過(guò)一個(gè)安全事件與信息管理(SEIM)系統(tǒng),從一個(gè)整體的,或者“內(nèi)容感知”的視角了解你企業(yè)的安全狀態(tài)。SEIM系統(tǒng)可建立一個(gè)集中式的架構(gòu)以簡(jiǎn)化監(jiān)測(cè)安全邊緣設(shè)備生成的上百萬(wàn)條信息與日志記錄這類任務(wù)。同樣,當(dāng)企業(yè)想要追究某個(gè)入侵者責(zé)任的時(shí)候,SEIM也是必不可少的。
6. 內(nèi)部安全教育同樣是重要的防御工具。定期提升安全團(tuán)隊(duì)的專業(yè)技能和能力非常關(guān)鍵;同樣必需讓員工意識(shí)到黑客會(huì)利用企業(yè)網(wǎng)絡(luò)暴露出來(lái)的一切漏洞,特別是在個(gè)人移動(dòng)接入設(shè)備風(fēng)行的時(shí)代。
關(guān)于 “2011年全球應(yīng)用與網(wǎng)絡(luò)安全報(bào)告”
該報(bào)告中的信息主要來(lái)源于兩個(gè)方面——Radware安全調(diào)查和ERT對(duì)其曾經(jīng)處理過(guò)的 40個(gè)精選網(wǎng)絡(luò)攻擊案例所做的分析。Radware于2011年秋季開(kāi)始了這項(xiàng)安全調(diào)查,調(diào)查對(duì)象涉及安全和網(wǎng)絡(luò)經(jīng)理以及相關(guān)執(zhí)行人等專業(yè)安全人士。該調(diào)查共有23個(gè)問(wèn)題,主要圍繞受訪者與DoS相關(guān)的經(jīng)驗(yàn)、他們?cè)?jīng)經(jīng)歷過(guò)的DoS攻擊所帶來(lái)的后果、解決辦法,以及他們所經(jīng)歷的3個(gè)最嚴(yán)重的攻擊的核心信息。Radware共收到135份回復(fù),其中大多數(shù)來(lái)自新的客戶。
而來(lái)自Radware ERT的40個(gè)精選案例解析則為這份調(diào)查提供了更加深入以及可論證的實(shí)踐依據(jù)。
如果您想進(jìn)一步了解Radware“2011年全球應(yīng)用與網(wǎng)絡(luò)安全報(bào)告”,請(qǐng)?jiān)L問(wèn):http://www.radware.com/2011globalsecurityreport
其他資源
報(bào)告:《2011年全球應(yīng)用與網(wǎng)絡(luò)安全報(bào)告》http://www.radware.com/2011globalsecurityreport
信息圖表:《2011年全球應(yīng)用與網(wǎng)絡(luò)安全報(bào)告》http://www.radware.com/Resources/callout_b.aspx?content=1628920
博客文章:《DDoS攻擊誤區(qū):“大小”真的那么重要嗎》http://blog.radware.com/security/2012/02/ddos-attacks-myths/
ERT視頻:Radware應(yīng)急響應(yīng)團(tuán)隊(duì)反攻網(wǎng)絡(luò)攻擊http://youtu.be/BWl0cmeiVMc
SlideShare演示文稿:《2011年安全報(bào)告——應(yīng)急響應(yīng)團(tuán)隊(duì)》http://www.slideshare.net/Radware/ert-2011-annualreportfinal
