台湾大哥大多层次协防 助企业甩脱DDoS恐惧
- 魏于宁
-
对于许多企业主而言,今年(2017)可谓充满挑战的一年,除了在业务拓展上,得应付全球经济满天飞舞的黑天鹅,还得提防黑客扯后腿,造成营运服务中断。
尤其才开春之际,惊爆多家券商集体遭到分散式阻断服务(DDoS)攻击勒索,之后甚至部份国小相继落难,同样惨遭勒索,这些坏万亿头,更让许多企业机构如坐针毡,只因从近年来DDoS攻击发展态势来看,已趋近「全民皆兵」意味,各行各业皆可能沦为苦主。
为何企业机构视DDoS为洪水猛兽?因为它实在太难对付,可伪装成合法流量,不带有任何已知恶意软件行为的特徵代码,所以不会被防火墙或入侵防御系统(IPS)等传统边界安全设备拦阻。
但更可怕是,DDoS攻击型式愈来愈多样化,光是基本款,即已包括属于L3/4层次的洪水式DDoS,以及属于L7层次的状态耗尽式DDoS或应用层DDoS,其间有粗鲁暴力型攻击,也不乏细腻型攻击,迫使防守方必须具备多次检测与缓解能力,才可能遏阻其攻势,但持平而论,要建立这般防卫机制,实在不是简单任务。
面对如此难缠的网安威胁,单凭企业一己之力,确实防不胜防。有监于此,台湾大哥大在去年10月27日,正式宣布与全球DDoS防御服务之领导厂商Arbor Networks携手合作,推出电信级「多层次DDoS防御」服务。
强调包括核心端、边界端的Anti-DDoS防御设备,通通架设在台湾大哥大的骨干网络,意即不管是「自来水厂」或「家用净水器」皆由台湾大哥大提供7x24 Always-on监控维运,因此企业一旦采用此服务,毋需自行斥资添购防御设备、配置专业团队,即可轻松建立L3?7所有类型DDoS攻击的防护实力,确保进入家门的网络流量,皆是纯净无瑕。
提供纯净网络服务 是运营商的责任
台湾大哥大企业产品暨营运管理处、企业整合业务暨服务处副总经理刘建伦表示,回顾早期,DDoS攻击的受难者,多局限于游戏网站、在线赌博等族群,且攻击流量大抵落在300 Mbps以下,直到两多年前,因为反纲课事件,引发知名黑客团体「匿名者」(Anonymous)表态声援抗议群众,于是针对政府、政党、教育及金融等单位发动攻击,其间曾爆发高达TB级的攻击流量,自此该公司意识到,DDoS的威胁性与杀伤力,真的与从前大不相同,万万不可掉以轻心。
刘建伦接着说,当时台湾大哥大即研判,展望未来,DDoS必然变得益发凶猛剧烈,不仅流量大,而且除了暴力攻击外,亦将夹杂意图攻陷应用层、或耗尽受害单位关键资源的L7攻击手法,导致型态更加诡谲多变。
除此之外,牵扯范围也愈来愈广,几乎各行各业都可能惨遭荼毒;因此今后DDoS所带来的风险,必然随着时间推移,如雪球般愈滚愈大,成为不会回头的趋势。
尔后金管会开始祭出规定,要求所有金融机构,都必须因应DDoS防护需求,确实建立监控、事故应变等必要机制,每年至少实施一次程序演练。
台湾大哥大开始认真思考,网络存取犹如民生必需品,每个行业日常开门做生意,都一定用得到,然而一旦接入网络,却得面临险恶威胁,面对此一态势,身为上游的运营商,实有必要挺身而出,设法在骨干网络架设金钟罩,尽力为用户滤除恶意流量,提供纯正洁净的网络接取服务,此乃无可回避的责任;在此情况下,台湾大哥大建立「DDoS防御服务」机制的构思,就此正式萌芽,且紧锣密鼓展开规划。
设备等级反应能力 实现紧急应变联防
针对DDoS防御服务的设计,台湾大哥大有相当清楚的思维脉络,务求一出手,就端出电信等级的铜墙铁壁。只不过,要建造面面俱到的最高等级防护机制,有诸多难题亟待解决,因为按照电信业界惯性,一般仅会兴建大型清洗服务中心,但此类服务仅能监控洪水式攻击流量,却无法识别L7等级的状态耗尽或应用层攻击流量,从最终用户角度来看,这般防御体系仍有破口。
因此刘建伦深信,要想有效抵御DDoS,单凭上层流量清洗中心是不够的,用户端亦须部署如同家用滤水器般的防御设备。但问题来了,不见得所有企业都有足够的资源与专业技能,能够维持这套设备之正常运作,况且在多数情况下,万一攻击来袭,当下往往需要倚靠用户端防御设备与上层流量清洗中心紧急串联,形成联防体系,才足以彻底斩断黑客攻势。
所以上下层防御系统之间,一定要有畅通无碍的沟通管道,好让用户端的「求救信息」,得以顺利传递到流量清洗中心;然而在实务上,要想全面兼顾一、二层防御,且保证紧急应变能力实时到位,确实需要煞费苦心。
幸运的是,几经严谨审慎的评估,台湾大哥大看到了曙光,便是Arbor Networks,因为这家公司耕耘电信等级DDoS防御市场,已有长达16年历练,全球有超过9成的电信营运商,都使用其SP/TMS托管安全服务管理设备。
不仅如此,Arbor Networks也着眼于端点实时的DDoS防护需求,提供Availability Protection System(APS)设备,而更难能可贵的是,APS一旦遭逢诸如低带宽攻击、或消耗带宽的洪泛性攻击,为了防止最后一里被塞爆,会主动发送云信号(Cloud Signaling)通知TMS流量清洗服务进行实时协防,单凭设备等级的自动反应,完全不必仰赖人力沟通,就可确保用户端服务的可用性与持续性,与台湾大哥大亟欲打造高效率紧急应变体系的初衷,可谓完全契合。
于是Arbor Networks雀屏中选,正式成为台湾大哥大「多层次DDoS防御」服务的战略合作夥伴;特别值得一提的,台湾大哥大为分担用户自行布建维运Anti-DDoS防御设备(APS)的沈重负荷,发挥创意巧思,决定将APS架设于骨干网络、而非用户端,等于是在自家管辖范围内,协助用户分忧解劳,一并负责设备布建、维护与管理,务求L3?7偌大范围内的各种型态DDoS攻击流量,都能全面监控、无所遁形。
主动告警通报 实时掌握攻击状态
Arbor Networks台湾区总经理金大刚盛赞,伴随「多层次DDoS防御」服务成形,对广大的企业用户,可谓最为有利的选项,因为面对各种类型的DDoS防护需求,举凡监控、应变、管理乃至演练等服务,从头到尾皆由台湾大哥大操刀,企业毋需再因为部署In-house设备而背负维运重担,更毋需费心更动现有网络架构,便可轻易获取全面性DDoS防御能量,尤其对于金融业用户来说,更完全呼应了金管会三申五令的监控、应变、演练等相关规定。
金大刚说,除此之外,台湾大哥大「多层次DDoS防御」服务另有一项关键特质,完全切中企业用户的实际需要,即是提供友善直觉的Portal界面,方便用户端网管人员随时造访,查看关于自身的DDoS攻防状态,一旦确实遭受攻击,不仅立即接获通报,对于攻击事件的起迄时间、IP来源、攻击型态等细部信息,亦能一览无遗。
不仅如此,用户亦可根据实际需求,利用Portal定制化调整主动告警的通报对象、分析报表的发送周期与频率,并善用丰富统计分析结果及图示化信息,及早预见可能的威胁,作为防御措施的补强依据。
刘建伦透露,某金融机构有监于DDoS防护已成为网安显学,虽然自认为过去一直相安无事,但仍决定采用台湾大哥大「多层次DDoS防御」服务;有一天网管人员透过分析报表,赫然发现该机构曾在某些时段遭受DDoS攻击,只是在攻势发动的瞬间,便被台湾大哥大的防御机制清洗殆尽,以致丝毫未影响任何服务的正常运行,而最终使用者也完全无感,这才庆幸预先架设了保护伞,否则只要DDoS攻击得逞,将会对于营运、商誉或客户信赖度造成何等伤害,真的不敢想像。
DDoS防护成显学 各大门派纷簇拥
但不可讳言,既然DDoS防护已成全民运动,甚至蔚为当今显学,那麽在大势所趋之下,自然也会有其他业者提供类似防御服务;难免有用户好奇,不论采用台湾大哥大或其他业者提供的服务,在实际的防御成效上,将会出现何等差异?
综观各大DDoS防护门派,当然都有一定优势,但也存在一些罩门,可能形成防御缺口,而让用户浑然不觉。市场上有几种不同的DDoS防御方式,方式之一同样是以流量清洗服务为基础,但与台湾大哥大「多层次DDoS防御」不同之处,在于一般业者多以Service On-Demand方案为主轴,而非Always-on模式。
所以用户端的实际网络流量,平时并未流经业者的清洗设备,必须等到用户求援,业者才会将当下可疑流量导向清洗设备,其间难免耗费一些学习过程,至少历时30分钟;常见的情况是,等到业者将清洗服务准备就绪之际,战事却结束了,原本告急的用户无法适时遏止灾厄,伤痛已然造成,显见这类型防御方式的应变能力,着实值得商榷。
方式之二是以网页应用程序防火墙(WAF)为轴心,搭配WAF设备原厂提供的国际流量清洗中心,构筑DDoS防御服务体系;由于WAF并非专业电信等级Anti-DDoS,仅擅于抵御网页型态的应用攻击,且有状态表限制,对于状态耗尽型DDoS的防范会相对吃力。
但更大问题在于,只要用户遭遇大流量攻击,必须藉由海缆导向海外进行过滤清洗,一来一回之间,必然造成网络延迟(Latency)效应,就算仅是行经看似不远的香港,Latency都可能达到100?200个毫秒(ms),唯恐导致某些敏感的通讯协定为之中断,连带对用户端的部份营运服务产生冲击。
至于方式之三,则是多数企业不陌生的「内容传递网络(CDN)」,其擅长以转进方式闪避DDoS侵袭,但一来仅适用于保护静态网页,对于诸如金融交易等需要与后台实时连线撮合的动态网页,其实不太适用。
二来CDN业者仅能协助保护HTTP或HTTPS等有限服务,至于其他应用型态则爱莫能助;再者更严重的是,目前愈来愈多黑客偏好锁定目标对象的真实IP,直接发动攻击,并非凭藉DNS,只要出现此一状况,以CDN为基础的DDoS防护服务,便无用武之地。
L3?7侦测防御 全面抵御DDoS攻势
刘建伦表示,DDoS攻击已趋近于国家安全层次,是一个足以影响经济产值、甚至国计民生的大议题。任何单位一旦遭受DDoS攻击,不论对于品牌、营收,都将造成重大伤害,且如果被攻击得逞次数过多,也等于是自曝网安防御短处,容易沦为黑客经常性攻击对象,承受更大风险。
由此可见,企业组织为了避免辛苦累积的经营成果,骤然折损或断送于黑客之手,确实需要对DDoS防御有所警觉,而所有运营商也应各展所长提出各种相关防护措施或服务,共同唤醒全台湾用户的防卫意识。
至于台湾大哥大的「多层次DDoS防御」服务,所欲凸显的主要特色,其实很简单明确,即包括:(一)「安全」:L3~7全面防护;(二)「效率」:7x24全时Always-on、自动实时监控与通报、定制化告警报表系统、实时掌握攻击状况;(三)「弹性」:电信骨干布建与管理,用户不需投资设备及改变既有网络架构,终至达到快速无痛导入;(四)「信任」:携手国内大厂Arbor Networks,联袂打造电信等级最严谨管控之DDoS防御服务。
刘建伦强调,台湾大哥大对于「多层次DDoS防御」服务,寄予高度的期待与关注,展望今后,将持续投注资源,力求在既有的服务架构基础上,打造更契合用户防护需求的服务内容,包括更快的反应速度、更多的级数选择,甚至是更多层次的防护设计,都是该公司积极评估与规划方向。
