- 今年的廣告商品交易可能是DDoS攻擊的旺季。
散落在房子里、吸引人的萬(wàn)圣節糖果只意味著(zhù)一件事:今年又到了零售商為黑色星期五熙熙攘攘的假日購物者準備商店(包括實(shí)體店和網(wǎng)店)的時(shí)候了。
據說(shuō),黑色星期五來(lái)源于19世紀末期發(fā)生在費城的一次事件。零售商Wanamaker百貨公司決定以極優(yōu)惠的價(jià)格售賣(mài)印花棉布,這是當時(shí)制衣過(guò)程中最常用的織物。被超低價(jià)印花棉布吸引蜂擁而至的購物者最終擠破了商店前門(mén)的玻璃櫥窗,使得商店被迫關(guān)閉。毫無(wú)疑問(wèn),商店的關(guān)閉讓W(xué)anamaker損失了很多生意。
眾所周知,這種情況并不是Wanamaker所特有的,在假日購物熱潮中,顧客的需求也會(huì )激增。每逢黑色星期五或網(wǎng)絡(luò )星期一的閃電購物,維護網(wǎng)絡(luò )和應用可用性已經(jīng)成為零售商一年一度的固定工作。一般而言,期間的風(fēng)險遠高于1890年Wanamaker事件。ComScore稱(chēng),去年網(wǎng)絡(luò )星期一的銷(xiāo)售額達到了30億美元,11月的銷(xiāo)售額接近300億美元。Ponemon研究所的評估數據顯示,企業(yè)一分鐘的宕機成本就超過(guò)2萬(wàn)美元,但如果考慮到購物高峰期的集中銷(xiāo)售額,網(wǎng)絡(luò )星期一的重要性更高。
例如,2014年的黑色星期五,零售商百思買(mǎi)集團遭遇了數小時(shí)的業(yè)務(wù)中斷,據報道,流量峰值是由移動(dòng)設備生成的。由于可用的信息有限,很難確定此次宕機是由一波又一波的合法客戶(hù)造成的還是網(wǎng)絡(luò )安全攻擊產(chǎn)生的惡意流量引發(fā)的。
可以確定的是,過(guò)去幾周發(fā)生了很多真實(shí)且讓人震驚的有關(guān)被入侵設備的例子,這些設備可以發(fā)起足以擊垮大型網(wǎng)絡(luò )和運營(yíng)商的攻擊。
近期的DDoS攻擊只是證明了要百分之百確保用戶(hù)免受攻擊侵擾的是多么具有挑戰性。但DDoS等威脅的提升并不能作為沒(méi)有做好充足準備的借口。當IT和安全專(zhuān)家只是說(shuō)他們的防御是希望自己不會(huì )遭到攻擊時(shí),情況就變得讓人遺憾了。正如他們所言:“希望并不是策略。”
好消息是,仍有一些能夠應對最新攻擊發(fā)展的措施可供企業(yè)選擇,以確保企業(yè)的安全運營(yíng)。
效果顯著(zhù)但卻不易實(shí)現的措施是如何有效區分合法流量和惡意流量。打個(gè)比方,在流量類(lèi)型和客戶(hù)群之間畫(huà)一條平行線(xiàn)。假設您有一個(gè)可以在全天不同時(shí)段滿(mǎn)足不同人群需求的餐廳。白天,顧客通常是中年全職媽媽或外出吃快餐的商務(wù)人士。晚上,顧客群明顯變得更年輕,有在鎮上閑逛的青少年群體或是在少年棒球聯(lián)盟賽結束后與父母一起來(lái)的小孩子。這些來(lái)到餐館的客戶(hù)類(lèi)型就是你的流量基線(xiàn),代表了客戶(hù)群的正常行為。
當提及利用行為分析技術(shù)檢測惡意的網(wǎng)絡(luò )或應用流量(包括潛在攻擊)時(shí),也會(huì )使用類(lèi)似的原理。當流量類(lèi)型(如SYN)在總體流量中占比出現異常時(shí),行為分析引擎就會(huì )啟動(dòng)。如果在同一時(shí)間SYN流量總體速率超出了正常速率,高級安全解決方案就會(huì )將其認定為攻擊,并攔截這一異常行為。
再以上述的餐館為例。如果在中午出現比例不尋常的年輕客戶(hù),您可能需要加以關(guān)注。如果這些客戶(hù)的人數變的很多,甚至到了可能會(huì )耗盡必要資源(如年輕人喜愛(ài)的意大利面)的地步,那么您就要采取相應的解決辦法了。
遺憾的是,并不是所有針對應用或網(wǎng)站的攻擊類(lèi)型都可以用這種方式檢測出來(lái)。DDoS攻擊可以被檢測出來(lái),而更高級的攻擊卻因沒(méi)有明顯的流量模型而無(wú)法被檢測。這些攻擊使用眾多試圖利用應用代碼漏洞發(fā)起攻擊的惡意腳本,針對這類(lèi)攻擊則需要不同類(lèi)型的防護措施。很多這種類(lèi)型的攻擊被收錄在開(kāi)放Web應用安全項目(OWASP)中,防御這些攻擊通常需要Web應用防火墻(WAF)。和任何安全技術(shù)一樣,不同的WAF產(chǎn)品在處理能力和方法上有所不同,最近Radware還發(fā)現,許多攻擊都利用了用戶(hù)依靠IP地址確認攻擊源的這一方法所存在的局限性。幸運的是,高級WAF都在使用快速發(fā)展的設備指紋識別技術(shù),通過(guò)各種工具和方法(包括在客戶(hù)端運行JavaScript)采集與數據源有關(guān)的、除IP之外的信息。設備指紋識別技術(shù)可以通過(guò)數十個(gè)用戶(hù)設備屬性識別Web工具實(shí)體,確認并追蹤他們的活動(dòng),生成用戶(hù)行為和聲譽(yù)資料。因此可以隨著(zhù)時(shí)間推移追蹤并確認異常行為和潛在的惡意行為,進(jìn)而定義設備的風(fēng)險程度。
為什么前面所介紹的技術(shù)措施都很重要呢?當考慮到由機器人程序生成的流量所占的高比例(預計超過(guò)50%)時(shí),很顯然,企業(yè)在僵尸網(wǎng)絡(luò )(惡意或其他)識別方面的能力還需要進(jìn)一步的提升。多數的應用DDoS、暴力破解、SQL注入等重大安全威脅大部分都會(huì )通過(guò)僵尸網(wǎng)絡(luò )執行。僵尸網(wǎng)絡(luò )攻擊流量會(huì )給交易處理能力帶來(lái)不可預知的的、不必要的負擔,因此,如果能夠更加精確地成功檢測并攔截機器人程序,這將給企業(yè)帶來(lái)更好的ROI。
關(guān)于Radware
Radware(NASDAQ:RDWR)是為虛擬數據中心和云數據中心提供應用交付和應用安全解決方案的全球領(lǐng)導者。Radware屢獲殊榮的解決方案為關(guān)鍵業(yè)務(wù)應用提供充分的彈性、最大的IT效率和完整的業(yè)務(wù)靈敏性。Radware解決方案幫助全球上萬(wàn)家企業(yè)和運營(yíng)商快速應對市場(chǎng)挑戰,保持業(yè)務(wù)的連續性,在實(shí)現最高生產(chǎn)效率的同時(shí)有效降低成本。
