大家普遍认为大带宽的网络攻击会严重毁坏企业网络,但实际情况却与此大相径庭,来自全球领先的虚拟数据中心和云数据中心应用交付及应用安全解决方案提供商Radware (NASDAQ: RDWR)的安全专家发现,其实那些个子不大、力气不小的低量攻击包更容易为企业制造大麻烦。以上信息源于Radware“2011年全球应用与网络安全报告”,该报告涵盖了众多安全新发现,为企业了解全球网络安全现状提供了一个新视角。
该报告中的新发现指出了业界对分布式拒绝服务(DDoS)攻击危害认知中存在的多个误区。报告特别指出:即使当下很多攻击都给企业带来了灾难性的破坏,但其实大多数公司从来未曾遭遇到大规模的激烈进攻。反而是有些小型的,并不激烈的攻击(调查发现76%的攻击都小于1G)所造成的危害远远大于相比能吞噬超过它10倍带宽的大型的DDoS攻击。
这份报告由Radware应急响应团队(ERT)完成,主要内容是一项针对各行业企业安全专家展开的安全调查,以及ERT对其经手的多个精选案例所做的分析。其中,ERT从专业的和具有教育意义的角度剖析了曾经处理过的攻击的类型、受害者,并介绍了能够缓解攻击的网络安全技术的概况。
Radware ERT是一个由专业安全顾问组成的团队,他们24小时随时待命以帮助客户在第一时间解决最棘手的安全问题。顾名思义,他们是化解网络攻击的第一道防线。截至到目前为止,Radware ERT专家已经成功处理了多起知名的网络攻击事件,拥有扎实的专业知识,积累了丰富的实战应对经验,可以帮助客户轻松处理自身安全团队未曾遇到过的安全问题。通过该报告,ERT向大家展现了他们是如何以实战经验来阻止每一次的网络攻击,对比单一的调查结果或者专业机构的研究报告,他们提供了更为可靠的实战经验论据。
打破误区
报告显示,虽然有部分企业确实经历过庞大的DDoS攻击,但是大多数并没有碰到过真正的巨量型攻击。相反,很多企业网络都是被具有同样破坏力的、小密度的攻击拿下的。如前面提到的,76%的攻击的带宽小于1G,其中32%的攻击带宽甚至不到10M。而2011年全年发生的所有攻击中只有9%的带宽大于10G。
回顾以往的网络攻击案例,我们发现业界的报道将公众带入了一个以攻击规模来判断威胁大小的误区。很多人都认为如果攻击所占的带宽越大,那就说明这个攻击更具威胁。事实上,Radware ERT发现攻击的类型也是判断其破坏力的指标。例如,遭遇一次针对应用层的规模较小的HTTP洪水攻击对企业形成的危害远远大于一次以网络层为目标的大型UDP洪水攻击。所以当我们评估DoS攻击时,需要将其类型和规模都纳入考虑的范围。
Radware安全报告还指出了了更多的安全误区:
误区一:仅仅依靠防火墙或IPS就能阻止DDoS攻击——虽然防火墙和入侵防御系统(IPS)就是为了保护网络安全而存在,但在 DDoS攻击面前,它们却没有办法发挥所长。其中以防火墙的防护能力最为薄弱。根据报告显示,在32%的DDoS攻击中,防火墙和IPS的作用如同鸡肋。所以,要防止DDoS攻击,企业还需使用专门的硬件解决方案,而不能只指望IPS和防火墙技术。
误区二:内容分发网络(CDN)服务供应商能帮助业务远离DDoS攻击——CDN只是偶尔能够通过吸收化解部分不太复杂和规模较小的攻击(一旦它被认可为合法流量,客户就需要为这一部分带宽付费)。无论如何,我们从近期试图击溃以色列金融系统和国家航空的攻击中看到,通过修改每一个Web事务中的页面请求就能够绕过CDN。而这些看似随机的请求迫使CDN打开大门,将攻击流量直接送往客户的网络边界,从根本上让CDN如同代理丝毫不能卸载针对目标服务器发起的攻击流量。
误区三:核心的DoS缓解策略是防护与化解——通过采取系列防范措施,企业有能力阻止恶意攻击以及防范针对网站的各种蓄意破坏活动。这也改变了长期以来黑客占据优势的局面,使双方的“竞技”水平不断提升。通过识别攻击活动中的攻击工具,发现和利用它自身的弱点,就可以变被动为主动,消除攻击工具所带来的危害。
Radware首席技术官Avi Chesla表示:“网络安全现状随着每一次出现的攻击浪潮而不断发生改变,DoS和DDoS攻击也在利用更多技巧和手段来对付攻击目标。Radware “2011年全球应用和网络安全报告”证实了在过去两年中所有严重的网络攻击活动中,既有体积庞大的大型攻击,也有温水煮青蛙式的“小而慢”型的攻击,它们一般同时存在。”
Chesla还表示:“大多数互联网网站自身都存在漏洞,这就使得企业无法准确预计自己的网站是否会被攻击,以及可能遭遇的攻击规模。企业需要依靠使用最先进的防护和攻击演习来对抗这些可以确定的网络犯罪行为,同时了解当前错综复杂的攻击现状。”
报告中提到的其他相关信息:
56%的网络攻击以应用层为目标;46 %以网络层为目标。
金融服务(28%)、政府和线上博彩(各占25%)网站最容易受到攻击。
半数攻击中,企业并不知道他们为何成为受害者。其中22%是源于“黑客主义分子”的政治和社会目的;12%来源于不满的用户;7%来源于竞争对手;4%是因为黑客希望企业付费以保全自己的网站。
在 2011年,DoS攻击已经变得更具组织性和专业性,并且更加复杂,攻击者往往在一次攻击活动中采用5种不同的攻击方式发起混合进攻。没有一个单点安全工具能够有效阻止当前这些复杂和多层的攻击。企业需要一种鸡尾酒式的混合安全技术来为自己的网络和业务提供全面的安全保护。
如何化解网络攻击?
Radware ERT向企业推荐以下措施,可以有效防止DoS和DDoS攻击:
收集相关攻击的所有信息,比如攻击的类型、大小和频率。利用正确的方式衡量不同类型的攻击。例如,准确衡量UDP洪水攻击的依据是带宽和PPS,而衡量HTTP洪水攻击的依据则是查看每秒的事务量,并发连接数和每秒产生的新的连接数。UDP洪水攻击也许看起更加庞大和危险,但是基于HTTP接入的攻击却能以很小的流量制造比UDP攻击大得多的破坏。
基于业务层面进行风险分析,以制定用于提升业务稳定性对抗DDoS攻击的预算。
应对带宽饱和攻击,请确保您的服务供应商能够提供相应的缓解保护。
应对应用攻击,请在企业网络中配置防DoS和网络行为分析技术。
通过一个安全事件与信息管理(SEIM)系统,从一个整体的,或者“内容感知”的视角了解你企业的安全状态。SEIM系统可建立一个集中式的架构以简化监测安全边缘设备生成的上百万条信息与日志记录这类任务。同样,当企业想要追究某个入侵者责任的时候,SEIM也是必不可少的。
内部安全教育同样是重要的防御工具。定期提升安全团队的专业技能和能力非常关键;同样必需让员工意识到黑客会利用企业网络暴露出来的一切漏洞,特别是在个人移动接入设备风行的时代。