服務支援‎ > ‎技術交流‎ > ‎專業知識‎ > ‎

2.DDOS 何以導致商務的風險

保衛企業網路安全以抵禦 DDoS 攻擊,長久以來一直是令人怯步的挑戰,而當今的網路犯罪分子使得這項工作更加艱鉅;現今的頭條新聞充斥著一波又一波的 DDoS 攻擊、資料外洩或其他安全性事件。然而,即使是在當今動態的威脅現況下,還是有許多企業相信他們幾年前採用的 DDoS 保護至今仍然有效。在這種情況下,企業等於是以他們的網路做賭注。是時候證明 DDoS 一些過時的錯誤觀念了。

5 個關於 DDoS 保護的常見錯誤想法

錯誤想法 #1:防火牆、IPS 或內容傳遞網路(CDN)可以解決DDoS攻擊
IT 基礎結構的演進以及對公有雲端的依賴,創造了不再有周邊的複雜環境。傳統的「周邊」安全性解決方案,例如防火牆和 IDS/IPS 仍舊是整合式安全性部署重要的一環。然而,由於這些狀態表(Stateful)裝置存在網路連線數的限制,使其更容易受一些 DDoS 狀態耗盡攻擊的影響,而可能使情況更糟。

許多企業也錯誤地相信內容傳遞網路 (CDN) 可以遏止 DDoS 攻擊並提供解決方案。但事實是,CDN讓所有攻擊流量進入並通過網路,提供「分散疏洪」的方法,以稀釋攻擊對服務的衝擊。此外,大多數以 CDN 為基礎的 DDoS 保護解決方案只著重於稀釋 HTTP/HTTPS 有關的DDoS 攻擊,而忽略所有其他如 NTP/DNS 放大攻擊等非常常見的攻擊。

錯誤想法 #2:單一 DDoS 解決方案已足夠
由於現今 DDoS 攻擊是包含流量、狀態耗盡和應用層等混和攻擊方式,因此,最佳做法是建議企業採取分層式(Layed)DDoS的保護措施。


換句話說,阻擋巨量洪水攻擊的最佳之處,是在靠近攻擊來源地的電信服務供應商的上游,在DDoS淹沒區域電信服務供應商前或內部部署 DDoS 保護設備前便加以阻擋,決戰於千里之外,這就是雲端流量清洗中心。而制止微量且細膩的狀態耗盡攻擊或應用層攻擊的最佳之處,是在客戶端的進出閘道處(Gateway),或靠近重要應用服務所在位置,這就是客戶端專業DDoS保護設備。同樣重要的是,您必須在這兩層之間擁有主動及自動化通報及公同聯防機制,以阻止動態混合式的 DDoS 攻擊行為。



可惜許多企業只選擇單層保護,而產生不完整的 DDoS 保護解決方案。

錯誤想法 #3:我們成為攻擊目標的機率不高,所以值得冒險
DDoS 攻擊數量遽增有兩個主因:容易發動攻擊,以及攻擊背後的多項動機。發動 DDoS 攻擊比以往更容易多了。任何人只要免費下載自己動手做的 DDoS 攻擊工具或付費用給第三方,就可以服務的形式進行 DDoS 攻擊。發動攻擊的成本雖然只有幾十美元,但企業的損失可能是千百萬美元。DDoS 攻擊背後的動機有很多。DDoS 攻擊的動機不再侷限於商務利益。如今,只要跟您的意見、政治背景或對某話題的立場不合,對方就可以使用繁多的工具或服務發動 DDoS 攻擊。更糟的是,如果您的服務是託管在公有雲端環境內,您甚至不必是 DDoS 攻擊的目標,也會受到連帶影響。所以您必須自問,「我可以心存僥倖嗎?」

錯誤想法 #4:我們損失的成本比投資保護措施成本低,因此不值得投資DDoS保護措施
DDoS 攻擊可能會產生即刻且嚴重的衝擊。事實上,許多企業都沒有進行適當的風險和對策分析,以證明購買全方位 DDoS 保護解決方案的需要性。當然,計算服務中斷時間的成本可能很容易;但是您是否將所有其他與 DDoS 攻擊相關的影響成本都考慮在內?

許多其他間接成本都經常被忽略,例如 SLA 罰則、公司商譽、法律 / 法規費用、維護品牌的公關成本、客戶忠誠度等。甚至還有主管或董事會成員因其企業未能充分做好阻止 DDoS 攻擊及其他威脅的準備,而遭解職的案例記載。

錯誤想法 #5 – DDoS 攻擊已不是先進的攻擊方式
是的,技術上來說,DDoS 攻擊本身並不先進。然而,近來針對 Botnet 和 DDoS 攻擊的研究指出,它們實際上與利用惡意程式碼、RAT 等先進威脅的攻擊活動關係密切。

例如,有案例記載指出 DDoS 攻擊曾用於:

> 早期勘查階段,測試企業回應特定威脅的能力。

> 武器化或惡意程式碼傳遞階段,用來填滿安全性調查產品記錄和資料檔案,使得搜尋部署的惡意程式碼更具挑戰性。

> 資料竊取階段,作為轉移注意力的手段。

所以這就要問… 「上次 DDoS 攻擊是獨立的事件,還是屬於針對我的企業發動之比較進階威脅攻擊活動的一部分?」為了萬無一失,強烈建議您應該利用全球威脅安全智慧,在企業受到衝擊前主動「追蹤」入侵或外洩的徵兆。

是時候針對 DDoS 攻擊採取多層式保護措施了
使用如防火牆或 IPS 等傳統安全性解決方案,或是不採取任何措施跟網路犯罪份子和駭客下賭注,都是冒很大的風險。若您的關鍵應用程式無法使用,您可以承擔後果嗎?您可以彌補因暴露上百萬客戶的機密資料而導致的相關成本?因此,您必須採取整合式、多層式的 DDoS 保護措施,隨時且全方位保護您的企業安全。
Comments