前陣子美國銀行業遭受名為「燕子行動」(Ababil)的「分散式阻斷服務」(Distributed Denial of Service, DDoS)攻擊,這次的攻擊被認為與詐欺及竊取顧客帳號有關。這種DDoS攻擊的特色是攻擊者使用超過一個攻擊向量(Attack Vector),對某個網站的可用性和效能造成干擾。
網路攻擊也會結合由各個網路供應商提供的「虛擬私有服務」(Virtual Private Services, VPS)和受破壞的伺服器,而且可以接觸到較大的電腦計算資源和頻寬,非像傳統使用一台PC發動的DDoS攻擊。這種方式大幅提高DDoS攻擊的破壞程度,又不必「招募」許多受破壞的伺服器。
今時今日銀行顧客變得更具流動性,並且想在任何時間、地點取得銀行服務。這就是網路銀行服務的重要性,但也提升被駭客入侵的影響和可能性。同時也會危及網路銀行服務的可靠度、可用性、效能表現及安全。網路交易的運用相對較為敏感,因此對銀行來說,克服這些潛在的威脅是相當重要的議題。
現今網路環境險惡,傳統安全防禦系統效果不彰
目前現代銀行面臨險惡的網際網路環境,然而網路仍是傳遞銀行商業策略的重要管道。傳統的銀行依靠防火牆、入侵防禦系統(Intrusion Prevention Systems, IPS)、 以及負載平衡器(load balancers)來檢查、過濾和管理網路流量(network traffic)。但從這次美國銀行業遭受DDoS攻擊的教訓證明,這些傳統的安全控管系統無法對付如此大規模的攻擊。
此外,銀行過去也喜好利用他們電信營運商和服務供應業者的Clean pipe服務作為網路攻擊的防禦系統。但這些防禦系統缺乏必備的資訊和規模來對抗如此大範圍且複雜的攻擊。上述的防禦系統只能阻擋有限的攻擊數量,尤其是對「安全套接層」(Secure Socket Layer, SSL)攻擊的防禦。這些措施也需花費較長的時間回應,且甚至要與多個網路服務業者(Internet Service Providers, ISPs)之間作出協調,讓這些防禦措施更顯不足。
為了克服險惡的網路環境及Clean pipe服務的缺點,網路銀行必須投資大規模、符合商業需求、可用性、並能有效解決安全攻擊的防禦措施。此外,這套防禦系統須提供即時的防護,而不是等待管理人員去決定解決方案;更重要的是,這些防禦系統必須在網路銀行系統遭受攻擊時,能有效運作,保持業務,並抵抗網路攻擊。
跳脫傳統安全防護系統,銀行業需要更即時、更全面的安全解決方案
Akamai有一套名為Kona網路安全解決方案,主要是用來提供完整且高效能的安全防護。這套頂尖的Kona Site Defender (KSD)解決方案能夠確保客戶遭受持續攻擊時,線上業務系統仍能接近運作正常;此外KSD是個永久在線的解決方案,能提供零時差的反應和抵禦多數的向量攻擊。另外,針對DDoS的攻擊,KSD提供了高度整合和内含的網站應用防火牆(Web Application Firewall, WAF),用來檢查和阻擋針對客戶網站應用的攻擊。
Akamai的用戶驗證模組(User Validation Module)則能讓銀行在不影響網站效能的情況下,能迅速且有效地分辨真人使用者、殭屍病毒(BOTs)或蠕蟲的請求。這種驗證的方式能確保在源頭已經阻擋了惡意的殭屍病毒,並不會影響到銀行的伺服器及服務,確保寶貴的計算資源在處理客戶請求時能有效運用。
制定有效網路安全解決措施,杜絕網路攻擊癱瘓系統
最後,銀行必須考慮防禦系統不只能抵抗向網站伺服器發動的攻擊,還要能防止攻擊從它們的DNS(Domain Name Service)下手。因爲若顧客鍵入URL 與相關的IP地址不能配對的話,便找不到銀行網站,銀行的線上服務將會中斷。
Akamai的增強DNS服務(Enhanced DNS) 允許銀行將其DNS服務部署在Akamai的雲端服務平台,並替銀行的網站應用提供高性能的靈活名稱解析(name resolution)。此外,這項服務確保顧客的DNS服務能不間斷的運作,同時解決和轉移攻擊,並確保合法用戶能快速使用到網路銀行服務。
Akamai強大的規模以及獨特的防禦結構能讓銀行在網路之外圍發展自身的安全策略,有效阻斷惡意攻擊者,同時讓真正的顧客快捷地使用網站服務。
我認為DDoS針對銀行機構的攻擊仍會持續下去,而且這些攻擊並不是只想讓銀行難堪,而是存心欺詐。因此銀行應該以網路銀行安全系統為本,透過保護DNS、動態網站、變更啟動頁面等方式,以抵禦來自網路層的攻擊。
欲瞭解關於Kona安全解決方案的更多資訊,請至: http://www.akamai.com/html/solutions/kona-solutions.html。
本文作者現為 Akamai亞太暨日本區域安全部總監。