過去兩年來,分散式阻斷服務(DDoS)攻擊增加了一倍,攻擊手法的數量與組合也大幅增加。在2020年,某間企業遭受每秒8.09億個封包(Mpps)的攻擊,該次事件是有史以來最大規模的每秒封包型攻擊。雖然有些企業可能認為他們的DDoS攻擊風險偏低,然而每個產業的關鍵業務服務與應用程式都是絕佳目標,若疏於保護基礎架構,可能導致大規模服務中斷和效能衰減。
迷思1:總容量代表可用的緩解資源
簡單的網路容量數字省略了重要的細節。需要回答的問題包括:有多少網路容量用於消耗性的攻擊流量?緩解系統有多少資源可用來阻止攻擊?有多少網路和系統資源可為該平台上所有的客戶來源伺服器提供乾淨的流量?此外,容量不僅侷限於技術層面。如果技術在某個時間點無法有效運作或將緩解作業最佳化,有哪些專用的人力資源可進行向上提報、處理事件回應及微調緩解作業?
- 提示:深入瞭解供應商的總網路容量和平台穩定性、可用於緩解攻擊的容量,以及乾淨的流量遞送使用率之間的差異。
迷思2:所有緩解時間SLA都是一樣的
緩解時間意指多快可以阻止或封鎖惡意流量,而不影響正當流量與使用者。結論是,其中有很多解讀的空間。例如,某家廠商可能在流量暴增至少持續五分鐘後,才會將其視為DDoS攻擊。因此,SLA計時器可能要在您遭受攻擊五分鐘之後才會啟動。這表示在廣告中所述的10秒緩解時間,實際上可能是五分鐘或甚至更久。其他廠商定義的緩解時間,是指緩解規則的部署速度有多快。不管怎麼說,您在意的是使連網資產恢復順利運作的時間。請務必仔細閱讀廠商SLA上的附屬細則。
- 提示:深入瞭解SLA中所列的緩解時間詳細資料。它應可以下列方程式呈現:偵測攻擊的時間+套用緩解控管措施的時間+封鎖攻擊的時間+緩解品質=真正阻止攻擊的時間。
迷思3:阻擋流量和速率限制是可接受的防禦措施
阻擋(Blackholing)是一些DDoS緩解服務供應商常用的防禦性回應措施。如果某項資產受到攻擊並使其他客戶面臨風險,供應商可能會嘗試使用虛擬黑洞,捨棄該資源的流量以避免連帶損害。這真的對您有幫助嗎?從攻擊者的觀點來看,阻擋流量代表任務達成,亦即目標資產有效地進入離線狀態。視供應商的基礎架構而定,其他客戶最後可能會離線或感到效能降低。許多供應商也會在共用環境中採用為客戶流量設定速率限制的對策,做為另一種回應方式。但是,降低20%至40%的正當流量,讓客戶產生資產或服務仍能順利運作的觀感,對遭受攻擊的客戶來說並非成功的結果。
- 提示:詢問供應商在和平期間及遭受攻擊時,阻擋流量或設定速率限制的頻率為何。判斷供應商在哪些情況下會阻擋流量,以及您需要達到什麼條件才能恢復服務。
迷思4:共用雲端平台的對象並不重要
每個企業都需要安全防護。經常遭受攻擊的爭議性企業,例如博奕和色情網站等灰色市場,同樣需要安全防衛能力。即使提倡犯罪活動和恐怖攻擊的組織,也會向合法的雲端廠商購買網路安全服務。您很容易認為這對於您而言並不重要。然而,如果您的企業與非法或經常遭受攻擊的企業共用雲端安全平台,便極可能發生連帶損害。廠商的資源可能已經遭佔用或不堪負荷,因而讓您的企業暴露在風險中。
- 提示:仔細閱讀雲端安全廠商的正當使用原則,確認您不會與高風險目標共用安全平台資源。
迷思5:全功能安全平台=更佳的安全體驗
部分供應商提供多種堆疊於單一雲端平台的服務,短期看來可能可降低部署與整合安全控制措施的技術複雜性。但是如果環境的其他部分發生中斷,則共用相同後端基礎架構與網路的多項服務,便很容易受到平台故障、連帶損害及恢復能力問題的影響。一站式廠商往往會因設計單一平台方式的限制,而必須犧牲功能性。針對特定用途打造的CDN、DNS及DDoS淨化雲端透明網目網路是為解決特定技術和安全難題而設計,能大規模提供更高的緩解品質和效能,以最佳化防禦狀態。
- 提示:請記住,您不需要共用相同的基礎架構,也能實現一致的安全體驗。多元化的底層架構可提供流暢的使用者體驗與高效能的緩解服務。
迷思6:內部部署解決方案提供更完善的掌控
雖然內部部署解決方案能讓企業自行決策並採取措施,但這種掌控性可能並不實際。任何內部部署解決方案最弱的環節,通常是網際網路連線的規模。當DDoS攻擊規模更大且更為複雜(多重手法)時,就算低於4Gbps的典型攻擊也可能使網際網路連線飽和並導致阻斷服務,即使包含最佳內部部署硬體的資料中心也難以倖免。對於內部部署,基本上可以視為購買將嚴重攻擊緩解作業移至雲端所需的時間。在資安人才不僅稀少且資源緊繃的情況下,企業紛紛將DDoS緩解外包至雲端平台,而非培養內部DDoS緩解專業能力。
- 提示:如果您的網路、IT和事件應對人員都負擔沈重,您就無法掌控一切。DDoS攻擊手法交由緩解專家處理最為妥當。多加把勁在公司內部的事務,並將工作外包給專家。
迷思7:您不需要多層次的防禦
大多數企業並不相信這一點,但有時會建立自己的防禦策略,彷彿真的能夠實現。例如,考慮採用混合模式。想要加強內部部署安全解決方案的企業,可能會添購相同廠商的雲端型解決方案來進行升級。一站式購物雖然可能很方便,但不一定能提供深度防禦。如果以相同的底層技術建立多層次的防禦,這些防禦層的漏洞和弱點也會相同,讓您同樣暴露在風險中。
- 提示:分層設置具有不同優缺點的同類最佳技術,讓某一層的漏洞可由另一層防禦加以保護。
迷思8:每個SOC都提供相同的支援等級
許多廠商會在資料表上宣傳安全營運中心(SOC)相關支援。然而,擁有全天候SOC並不是最重要的。重要的是當您的資產受到攻擊時,預期可以獲得的服務等級與專業知識。評估DDoS緩解服務供應商時的一些關鍵考量事項應包括:在攻擊之前、攻擊期間及攻擊之後,您會獲得何種類型的支援和分析?SOC由哪些人員提供服務,以確保能持續防禦?如果您聯絡SOC,聯絡的對象是實際進行緩解的分析師還是只是向上提報人員?您的供應商是否具備受過緩解訓練的安全專業人員,還是只有負責將流量路由到現成緩解設備的人員?他們是否提供自訂的操作程序?安全供應商的SOC應作為事件回應團隊的輔助,以發揮真正的價值。
- 提示:評估您預期可從服務供應商SOC獲得的支援品質。除了攻擊偵測與緩解之外,應判斷是否提供整合與測試、事件疑難排解、事後分析(學習到的經驗)及設計支援,以協助您縮小攻擊面。
迷思9:DDoS防護是全方位的
雖然較低的價格可能令人心動,但可能有隱藏成本。有些廠商提供低價,但會限制提供緩解的攻擊數量或規模。如果您遭受太多攻擊鎖定或是攻擊規模太大,對方會在您忙於讓業務恢復運作的狀況下,於阻擋攻擊之前要求您升級到更高(也更貴)的服務層級。在比較廠商和價格時,務必瞭解其中取捨,以及這些決定會對您的風險狀態造成的影響。
- 提示:在簽署合約之前,瞭解提供給您的報價所包含的內容。
本文轉載自Akamai 白皮書。