掌握新特征打好新一年DDoS反擊戰(zhàn)

　　進(jìn)入后疫情時(shí)代，DDoS攻擊發(fā)起者的野心恐將欲壑難填，企業(yè)需要以面對(duì)疫情常態(tài)化的心態(tài)來(lái)應(yīng)對(duì)“加強(qiáng)版”的DDoS攻擊‍‌‍‍‌‍‌‍‍‍‌‍‍‌‍‍‍‌‍‍‌‍‍‍‌‍‍‍‍‌‍‌‍‌‍‌‍‍‌‍‍‍‍‍‍‍‍‍‌‍‍‌‍‍‌‍‌‍‌‍。

　　回首過(guò)去一年，新冠肺炎疫情成為了各行各業(yè)的關(guān)鍵詞‍‌‍‍‌‍‌‍‍‍‌‍‍‌‍‍‍‌‍‍‌‍‍‍‌‍‍‍‍‌‍‌‍‌‍‌‍‍‌‍‍‍‍‍‍‍‍‍‌‍‍‌‍‍‌‍‌‍‌‍。 疫情的大流行導(dǎo)致人們大規(guī)模地轉(zhuǎn)移到遠(yuǎn)程工作和學(xué)習(xí)的模式，并愈發(fā)依賴在線服務(wù)，這也為網(wǎng)絡(luò)犯罪分子提供了更多的攻擊機(jī)會(huì)‍‌‍‍‌‍‌‍‍‍‌‍‍‌‍‍‍‌‍‍‌‍‍‍‌‍‍‍‍‌‍‌‍‌‍‌‍‍‌‍‍‍‍‍‍‍‍‍‌‍‍‌‍‍‌‍‌‍‌‍。 在網(wǎng)絡(luò)安全領(lǐng)域，過(guò)去一年見(jiàn)證了分布式拒絕服務(wù)(DDoS)攻擊的爆發(fā)。 與往年相比，網(wǎng)絡(luò)犯罪分子在2020年對(duì)各行業(yè)發(fā)起的DDoS攻擊在規(guī)模、頻率和復(fù)雜度上均創(chuàng)下了新高，攻擊方式也更是別有用心。

　　進(jìn)入后疫情時(shí)代，DDoS攻擊發(fā)起者的野心恐將欲壑難填，企業(yè)需要以面對(duì)疫情常態(tài)化的心態(tài)來(lái)應(yīng)對(duì)“加強(qiáng)版”的DDoS攻擊。

　　2020年，Akamai智能邊緣安全平臺(tái)成功抵御了包括截至目前最大帶寬和最大吞吐量在內(nèi)的數(shù)起DDoS攻擊。 基于此，本文總結(jié)了Akamai平臺(tái)上觀察到的DDoS攻擊新趨勢(shì)，并提出了解決之道，旨在幫助企業(yè)在后疫情時(shí)代的安全環(huán)境中以往鑒來(lái)，更好地保護(hù)自身業(yè)務(wù)發(fā)展。

　　攻擊手段變化多端

　　過(guò)去十年間，被攻擊企業(yè)在互聯(lián)網(wǎng)的出入口位置受到的壓力和網(wǎng)絡(luò)設(shè)備的處理能力面臨的壓力基本呈指數(shù)型增長(zhǎng)，增長(zhǎng)了約20倍，而2020年這兩項(xiàng)指標(biāo)又再次被刷新。

　　具體而言，2020年6月的第一周，Akamai應(yīng)對(duì)了迄今見(jiàn)到的最大規(guī)模帶寬的DDoS攻擊。 其針對(duì)的是一家互聯(lián)網(wǎng)主機(jī)提供商，主要攻擊對(duì)象共有五個(gè)IP地址，使用了ACK Flood、CLDAP反射、NTP Flood等九種不同的攻擊向量和多種僵尸網(wǎng)絡(luò)攻擊工具。 這起攻擊流量來(lái)源于全球，持續(xù)了近兩個(gè)小時(shí)，最終峰值達(dá)到1.44Tbps和385Mpps，其中超過(guò)1Tbps的帶寬攻擊就超過(guò)了一個(gè)小時(shí)。 而上一次Akamai觀察到如此大帶寬的DDoS攻擊還是在2018年，當(dāng)時(shí)的攻擊帶寬僅為1.3Tbps。 由這起攻擊事件可見(jiàn)，攻擊者為了達(dá)到目的，非常重視DDoS攻擊技術(shù)的開(kāi)發(fā)與變化。 事實(shí)上，多向量DDoS攻擊在2020年非常普遍，Akamai平臺(tái)緩解的攻擊中約有33%的攻擊包含三個(gè)或更多攻擊向量，最多為14個(gè)不同向量。

　　另一起破吞吐量紀(jì)錄的DDoS攻擊發(fā)生在2020年6月，目標(biāo)為一家歐洲大型銀行。 Akamai觀察到其帶寬在幾秒鐘內(nèi)從正常流量水平激增至418Gbps，隨后在約兩分鐘內(nèi)達(dá)到809Mpps的吞吐量峰值。 整起攻擊雖然持續(xù)不到十分鐘，但獨(dú)特之處在于Akamai觀察到的數(shù)據(jù)包源IP地址數(shù)量大幅增加，這意味著在攻擊期間，攻擊者向該銀行目的地注冊(cè)的源IP數(shù)量大幅增加，表明攻擊來(lái)源高度分布。 Akamai觀察到的每分鐘源IP數(shù)量是平常觀察到的客戶目的地址的600倍以上。

　　2020年以上述兩起破紀(jì)錄的DDoS攻擊為代表的數(shù)起攻擊反映出這樣一個(gè)問(wèn)題—雖然某些攻擊未得逞，但攻擊者愿意花費(fèi)的成本與代價(jià)十分巨大，企業(yè)若沒(méi)有富有經(jīng)驗(yàn)的技術(shù)、人員和流程，將難以應(yīng)變。

　　不明勒索型攻擊混雜

　　從2020年8月開(kāi)始，Akamai的部分客戶陸續(xù)收到幾個(gè)攻擊組織發(fā)來(lái)的DDoS攻擊勒索信。 信中措辭與此前已公開(kāi)的勒索內(nèi)容并無(wú)二致：勒索信警告他們?nèi)魧?duì)外曝光勒索要求，則立即發(fā)起攻擊，攻擊不但會(huì)破壞基礎(chǔ)設(shè)施，還將造成企業(yè)聲譽(yù)受損等更大影響。 可見(jiàn)勒索者精心策劃過(guò)信件內(nèi)容，希望達(dá)到“不戰(zhàn)而屈人之兵”的效果。 一些勒索信注明了身份，如主要針對(duì)金融機(jī)構(gòu)進(jìn)行勒索的Fancy Bear(APT 28)和Armada Collective分別要求被勒索企業(yè)支付10個(gè)比特幣(時(shí)價(jià)為12萬(wàn)美元)和20個(gè)比特幣(約合24萬(wàn)美元)，若企業(yè)超過(guò)付款期限，還會(huì)增加勒索要求。 還有一些勒索信指明了攻擊目標(biāo)并威脅發(fā)起一次小的“測(cè)試”攻擊來(lái)證明情況的嚴(yán)重性以及攻擊的決心。

　　Akamai平臺(tái)曾觀察到一個(gè)受勒索的客戶遭到了50Gbps的攻擊，但經(jīng)過(guò)分析，該勒索攻擊者并非信中聲稱的組織，而是利用知名攻擊組織的名聲來(lái)恐嚇企業(yè)加緊付款。 而這樣“渾水摸魚(yú)”的勒索事件在2020年的勒索型DDoS攻擊中更是屢見(jiàn)不鮮。

　　Akamai平臺(tái)運(yùn)用數(shù)據(jù)和專家的經(jīng)驗(yàn)，將“攻擊信號(hào)”進(jìn)行提取，包括勒索DDoS攻擊中的向量、所利用的漏洞等技術(shù)特征，鑒別攻擊是否為平臺(tái)上出現(xiàn)過(guò)的已知威脅，最終Akamai發(fā)現(xiàn)，2020年的勒索型DDoS攻擊并不都是信中宣稱的那些組織發(fā)起的，雖然很多人宣稱自己是某一黑客組織，但他們所使用的安全信號(hào)完全不同，有些攻擊甚至被Akamai平臺(tái)自動(dòng)攔截了。 從Akamai的數(shù)據(jù)來(lái)看，真正由信中宣稱的組織發(fā)起的勒索型DDoS攻擊在所有攻擊中只占約10%; 從另一個(gè)角度來(lái)說(shuō)，2020年發(fā)生的DDoS攻擊并不是每一起都會(huì)告知受勒索企業(yè)其勒索需求。

　　勒索組織進(jìn)行了全行業(yè)掃描

　　總體而言，Akamai在2020年發(fā)現(xiàn)北美、亞太、歐洲、中東和非洲的企業(yè)收到的勒索信日益增加。 金融服務(wù)業(yè)起初是受威脅最大的行業(yè)，但隨后，勒索組織又將目標(biāo)對(duì)準(zhǔn)了其他行業(yè)，波及電商、社交媒體、制造、酒店和旅游等不同行業(yè)。 勒索組織進(jìn)行了全行業(yè)掃描，從最有利可圖的行業(yè)入手，勒索完一個(gè)行業(yè)便調(diào)轉(zhuǎn)槍口對(duì)準(zhǔn)另一個(gè)行業(yè)。

　　攻擊最終發(fā)起的情況也反映出一個(gè)現(xiàn)象—沒(méi)有行業(yè)能夠幸免。 2020年8月前，DDoS攻擊主要針對(duì)游戲業(yè)。 但從8月開(kāi)始，攻擊突然轉(zhuǎn)向金融業(yè)，隨后又?jǐn)U散至多個(gè)行業(yè)。 由于疫情期間在線學(xué)習(xí)的需要，教育業(yè)在2020年成為了DDoS攻擊的“重災(zāi)區(qū)"，DDoS攻擊會(huì)使學(xué)生無(wú)課可上，產(chǎn)生非常糟糕的后果。

　　五大舉措應(yīng)對(duì)“新時(shí)代”的勒索型DDoS攻擊

　　2020年很多遭到攻擊的大型企業(yè)表示勒索信被系統(tǒng)當(dāng)成垃圾郵件過(guò)濾了，因此沒(méi)有收到勒索郵件的企業(yè)并不代表其能夠獨(dú)善其身。 而中小型企業(yè)往往在勒索的成本與付出的安全投資之間舉棋不定。 可以確定的是，勒索型DDoS攻擊會(huì)長(zhǎng)期存在，攻擊者正在改變和更新其攻擊手段，不斷躲避網(wǎng)絡(luò)安全從業(yè)者和執(zhí)法機(jī)構(gòu)。 那么面對(duì)“新常態(tài)”下的網(wǎng)絡(luò)環(huán)境，企業(yè)該如何應(yīng)對(duì)DDoS攻擊呢?

　　第一，面對(duì)DDoS攻擊，企業(yè)機(jī)構(gòu)決不能妥協(xié)，不能助紂為虐。 按照攻擊者的要求支付贖金既無(wú)法保證攻擊者停止攻擊，也不能確保未來(lái)不再受到其他攻擊威脅。

　　第二，企業(yè)機(jī)構(gòu)可以向有經(jīng)驗(yàn)的組織尋求幫助，借力專家，尋求適當(dāng)?shù)燃?jí)的咨詢與安防建議以及應(yīng)對(duì)突發(fā)情況的緊急服務(wù)。 并且企業(yè)機(jī)構(gòu)應(yīng)該以情報(bào)研判、實(shí)戰(zhàn)經(jīng)驗(yàn)、緩解能力和緩解容量四個(gè)方面作為評(píng)估標(biāo)準(zhǔn)，尋找合適的合作伙伴。

　　第三，DDoS攻擊在發(fā)生的那一刻，可能就已經(jīng)造成了企業(yè)數(shù)萬(wàn)美元的財(cái)務(wù)損失，所以，企業(yè)機(jī)構(gòu)應(yīng)該隨時(shí)準(zhǔn)備迎戰(zhàn)，結(jié)合合適的防護(hù)方案與安全合作伙伴，主動(dòng)緩解DDoS流量，讓攻擊者難有可乘之機(jī)。

　　第四，企業(yè)機(jī)構(gòu)應(yīng)該優(yōu)化自身安防流程和技術(shù)，改善自身安全態(tài)勢(shì)，有針對(duì)性地設(shè)立防御層次。 根據(jù)自身業(yè)務(wù)形態(tài)與風(fēng)險(xiǎn)承受能力確定應(yīng)采用的安防形式，形成閉環(huán)，不斷優(yōu)化，從而更好地保護(hù)自身資產(chǎn)。

　　第五，企業(yè)機(jī)構(gòu)應(yīng)該協(xié)調(diào)好技術(shù)、流程和人員的關(guān)系，召集相關(guān)職能部門(mén)，確保準(zhǔn)備充分，了解在發(fā)生攻擊時(shí)各自應(yīng)采取何種措施。 企業(yè)機(jī)構(gòu)可以定期執(zhí)行桌面演練，以確保適當(dāng)?shù)娜藛T、流程和技術(shù)隨時(shí)準(zhǔn)備就緒，讓投資的技術(shù)、工具都能落到實(shí)處，使價(jià)值最大化。

　　企業(yè)發(fā)展論文范例：企業(yè)金融化與盈余持續(xù)性

　　2020實(shí)屬不易，DDoS攻擊帶來(lái)的威脅從未像現(xiàn)在這樣嚴(yán)峻。 企業(yè)機(jī)構(gòu)只有做到以上五點(diǎn)，通過(guò)“人員+流程+技術(shù)”結(jié)合的方式，建立應(yīng)對(duì)DDoS攻擊的全方位安防網(wǎng)，才能有條不紊地應(yīng)對(duì)水平不斷上升的DDoS攻擊，打好DDoS反擊戰(zhàn)，在2021“牛”轉(zhuǎn)乾坤‍‌‍‍‌‍‌‍‍‍‌‍‍‌‍‍‍‌‍‍‌‍‍‍‌‍‍‍‍‌‍‌‍‌‍‌‍‍‌‍‍‍‍‍‍‍‍‍‌‍‍‌‍‍‌‍‌‍‌‍。

　　作者：馬俊

轉(zhuǎn)載請(qǐng)注明來(lái)自發(fā)表學(xué)術(shù)論文網(wǎng)：http://www.zpfmc.com/dzlw/27565.html