親俄駭客組織 NoName057 持續對台灣發動 DDoS 阻斷服務攻擊,從政府、金融單位到高科技業皆成為目標。由於台灣身處地緣政治熱點,長期以來一直是網攻重災區,NoName057 事件更突顯了兩大警訊。
首先,DDoS是行之有年的攻擊手法,也有可靠的對應方案,但部分機構或企業仍被攻陷,顯然防禦仍有不足;其次,除了重大基礎設施、重點產業和知名企業,透過監控 NoName057 的 Telegram 頻道發現攻擊標的正在擴大,就連中小型企業或民間組織也難以倖免。
認識攻擊手法、認知防禦重點
相較於台灣在 2017 年面臨史上第一次券商集體遭DDoS攻擊勒索的事件,NoName057 反而是以政治目的發動攻擊,因此,它的作法會是盡可能擴大影響範圍及傷害程度。
NoName057 的 DDoS 攻擊的最大挑戰在於真人化。一般由機器人或操控連網設備發動的攻擊模式有跡可循,但NoName057是透過在Telegram招募志願者參與 DDoSia 專案,根據 Akamai 分析日前同遭攻擊的銀行業客戶發現,攻擊來自 25 個國家,其中包括台灣本地流量,用於攻擊的 User Agent 接近 70 種,主要是瀏覽器和手機 App,這種分散式的攻擊行為更加難以偵測和防禦。
此外,目前的 DDoS 攻擊主要來自第七層(應用層),加密內容無法偵測,但電信商清洗流量和許多機構組織的防禦仍集中在第三層(網路層)和第四層(傳輸層),導致防禦效果受限。
以雲端服務防禦 DDoS 攻擊的最大好處是禦敵於境外,在攻擊發動點就進行阻擋,例如:Akamai 的 SLA 是零秒啟動的防禦機制,以投資成本和時效性而言,都優於電信商和地端自建的作法。此外,Akamai 在台灣也有設備可針對本地流量就近阻擋攻擊。
短中長期措施持續強化防禦機制
針對 NoName057 日前對台發動的攻擊,Akamai 發現攻擊流量只有平常的兩倍,卻有不少單位因此中斷服務,分析原因可能是預留的流量空間不足、缺乏防禦機制,或是防禦機制生效時間太慢,來不及因應。
由於 Akamai 國外客戶已有對應駭客組織 NoName057 的前例,Akamai 顧問也根據因應狀況與實務經驗,提出短中長期的對策建議。針對其他駭客組織的攻擊模式,Akamai 亦有相對應的建議作法。
- 【短期】通過 WAF 進行包含動態內容的精細緩存化及設置調整。
- 【短期】重新審視 WAF 的流量控制設置。
- 【短期】引入 CDN 的故障轉移設定(在原始伺服器故障時向用戶提供適當告知)。
- 【中期】考慮在緊急情況下通過 WAF 增加地理封鎖等訪問限制。
- 【中期】利用 Client Reputation(已確認具有一定的效果)。
- 【中期】為防止直接攻擊原始伺服器,隱匿或混淆原始伺服器的主機名和 IP。
- 【中期】通過 EdgeDNS 防止 DNS 查詢型 DDoS 攻擊。
- 【中長期】利用 Bot Manager 排除 Bot 的影響。
- 【中長期】通過 MSS 在 Akamai SOCC 進行緊急處理。
- 【中長期】將原始伺服器設置在具備高 DDoS 耐受性的數據中心/網段中(防止牽連攻擊)。
一般而言,WAF 和流量速率管控機制是必備的防禦基礎,但長期而言,企業必須考量資料中心的防禦等級並採取相對建置;此外,由於當前主流攻擊是機器人類型,針對機器類型攻擊的防禦措施也必須到位。
政府針對金融業和上市上櫃公司的規範要求如設置資安長、必須發布公告,都是正確作法,建議適用範圍可以再擴大至中小型企業,同時結合持續的演練,以持續檢查防禦有效性。畢竟,台灣身為網攻重災區的現況不會改變,無論哪個產業、無論規模大小,都必須有所防禦及準備。