來自全球領先的虛擬數據中心和云數據中心應用交付及應用安全解決方案提供商Radware 的安全專家表示:1月下旬發生的一連串網絡攻擊堪稱有史以來最密集的一波網絡攻擊潮。
這一波黑客行動始于1月16日,當時一群支持巴勒斯坦的激進黑客活動主義者針對以色列股票市場、國家航空、中央銀行、外交部以及幾家存在安全漏洞的大型私人銀行發起了為時超過三天的攻擊活動,但是功敗垂成。隨后這些黑客先后加入了匿名組織并在1月23日將茅頭指向眾多的美國網站,希望借此抗議反盜版提案和Megaload.com網站被權威勒令關閉的事件。在這次攻擊中,受影響的網站不僅有美國司法部,聯邦調查局、白宮,還有美國電影協會、唱片工業協會, CBS.com,華納音樂和環球音樂等知名企業。
Radware應急響應團隊(ERT)迅速針對這一連串攻擊展開了分析,隨后發現那些依賴單一安全體系來管理安全事務的公司無疑是把所有的雞蛋放進了一個籃子里,同樣那些僅僅部署了邊界安全解決方案的企業在這樣一波混合攻擊活動下也只能束手無策。通過深度剖析那些被報道的攻擊案例,Radware應急響應團隊發現:
• 攻擊者采用多層次的多漏洞攻擊手段,打擊被入侵者的各層網絡基礎架構,包括網絡、服務器和應用層。
• 原本被用于攻擊網絡的分布式拒絕服務攻擊(DDoS)被黑客進一步開發,轉而以應用作為目標。
• 攻擊者更傾向于利用 “low & slow”式的攻擊方法以消耗被入侵者的應用資源,而非網絡協議的資源。
• 攻擊者演化了其規避技術來回避檢測和緩解系統,如采取基于SSL的攻擊、不斷修改HTTP頁面中的頁面請求從而形成洪水攻擊,
黑客攻擊的新技術和技巧的無疑提升了檢測和緩解攻擊的難度。從案例中我們看到,云端防DoS服務和內容分發網絡(CDN)等常規安全解決方案只能解決當前這些先進攻擊所帶來的部分問題。云端防DoS服務的確能夠緩解針對網絡帶寬的攻擊,但是它的局限在于能夠防止應用DDoS卻無法阻擋“low & slow”式的攻擊和SSL DDoS攻擊。同樣,黑客也能讓攻擊繞過CDN,比如不斷更改每個Web事務處理過程中的頁面請求,致使內容無法被緩存,最終讓CDN形同虛設,反而成了將攻擊送達目標服務器的中介。
但這并不意味著企業在制定DDoS保護計劃時要將服務供應商拒之門外。Radware ERT結合當前的網絡威脅形勢給出的建議是,云端防DoS和CDN可被部署為第一層防線,因為它們能消除混跡在線上業務連接中的大量的帶寬攻擊。而企業邊界網絡安全產品便是第二道防線,以化解應用DDoS攻擊、“low & slow”式DoS攻擊,以及Slowloris、 Socketstress、 SSL 握手攻、HTTPS洪水攻擊等等SSL攻擊。這些攻擊都渴望與應用層面“親密接觸”,所以必須在邊界予以處理。但服務供應商通常不能熟練地檢測到這些攻擊,或者檢測到后卻沒有辦法正確地緩解威脅。
DDoS防護的黃金法則
Radware ERT為抵御DDoS總結了以下4條黃金法則:
• 在企業內部署能夠抵御DDoS攻擊網絡洪水攻擊、應用DDoS洪水襲擊、 “low & slow”式攻擊和SSL的攻擊的攻擊緩解系統。
• 從你的服務供應商或者MSSP(安全服務供應商)處獲取并注冊一個防DoS解決方案。它將幫助您清除批量攻擊。
• 部署一個安全信息與事件管理(SIEM)系統以獲取對業務安全狀態的全面可視性,例如偵查攻擊者和檢查防火墻狀態,從而為用戶提供攻擊預警。
• 建立一支由你公司IT團隊成員與服務供應商團隊共同組成的應急響應小組。
Radware攻擊緩解系統(AMS)和Radware ERT
Radware AMS是業界首款全面集成的IT安全戰略解決方案,它能實時保護基礎設施和網絡應用免受宕機、應用漏洞攻擊、惡意軟件傳播、信息竊取、web服務攻擊以及web篡改的困擾。Radware AMS提供了最佳的整合解決方案能夠解決目前最難防范的多漏洞攻擊,幫助企業將這類專以網絡基礎架構設備、服務器和應用為目標發起的多層IT基礎架構攻擊拒之門外。
Radware AMS可被部署在云端和網絡邊界以交付最佳的DDoS攻擊緩解解決方案。通過與其相集成的SIEM聯手,該系統便能使云端與邊界同步,在最有效的位置將攻擊威脅予以消滅:批量攻擊可被緩解于云端,而邊界就是對抗應用洪水攻擊、low & slow式攻擊和SSL攻擊的最佳戰場。
Radware通過增加專家支持來進一步提升安全功能,由專業的安全顧問組成的緊急響應團隊(ERT)7×24隨時待命,為用戶提供快捷、專業的緊急安全服務。顧名思義,Radware ERT是化解網絡攻擊的第一道防線。Radware ERT專家已經成功處理了多起知名的網絡攻擊事件,擁有扎實的專業知識,積累了豐富的實戰應對經驗,幫助客戶輕松處理自身安全團隊從未遇到過的安全問題。
相關評論
“黑客對于新技術的應用提升了檢測和緩解網絡攻擊的難度。云端防DoS服務和內容分發網絡(CDN)等常規安全解決方案只能解決當前這些先進攻擊所帶來的部分問題。云端防DoS服務的確能夠緩解針對網絡帶寬的攻擊,但是它的局限在于能夠防止應用DDoS卻無法阻擋“low & slow”式的攻擊和SSL DDoS攻擊。同樣,黑客也能讓攻擊繞過CDN,比如不斷更改每個Web事務處理過程中的頁面請求,致使內容無法被緩存,最終讓CDN形同虛設,反成了將攻擊送達目標服務器的中介。”
——Radware安全產品總監Ron Meyran
“為了幫助我們的金融服務客戶在近期的攻擊浪潮中有效地緩解各種攻擊方式帶來的風險,我們在云端和邊界都部署了Radware攻擊緩解系統(AMS)。在云端的AMS幫助我們清除了批量的 SYN和UDP洪水攻擊,同時我們在用戶端部署的AMS設備能有效地緩解各種應用DDoS攻擊。所以,在剛剛過去的這波攻擊中,我們客戶的業務吞吐量完好無損,同時其合法用戶還體驗到了完美的快速響應。選擇Radware AMS是我們在對比多款DDoS攻擊緩解解決方案后的明智決定,它是唯一能夠在幾秒鐘的時間內有效檢測和阻止那些濫用網絡資源和客戶應用資源的解決方案。”
——Bezeqint業務發展部Shlomi Cohen