Radware:企業(yè)中必備的5大DDoS防護(hù)技術(shù)

責(zé)任編輯:zhaoxiaoqin

2018-06-28 08:39:24

分布式拒絕服務(wù)(DDoS)攻擊已經(jīng)進(jìn)入了1 Tbps的DDoS攻擊時(shí)代。然而,Radware研究顯示,DDoS攻擊不僅規(guī)模越來越大;也越來越復(fù)雜。黑客們不斷提出新的可以繞過傳統(tǒng)DDoS防護(hù)措施的創(chuàng)新方法,損害企業(yè)的服務(wù)可用性。為了確保能夠防御最新和最強(qiáng)大的DDoS攻擊,企業(yè)必須確定其安全提供商可以提供應(yīng)對(duì)這些最新威脅的最佳工具

分布式拒絕服務(wù)(DDoS)攻擊已經(jīng)進(jìn)入了1 Tbps的DDoS攻擊時(shí)代。然而,Radware研究顯示,DDoS攻擊不僅規(guī)模越來越大;也越來越復(fù)雜。黑客們不斷提出新的可以繞過傳統(tǒng)DDoS防護(hù)措施的創(chuàng)新方法,損害企業(yè)的服務(wù)可用性。

同樣地,在線安全提供商也在加快腳步,推出新技術(shù)來阻止攻擊者。然而,并不是所有的DDoS防護(hù)措施都是生來平等的。DDoS防護(hù)服務(wù)的質(zhì)量和所能提供的的防護(hù)措施有很大差別。

為了確保能夠防御最新和最強(qiáng)大的DDoS攻擊,企業(yè)必須確定其安全提供商可以提供應(yīng)對(duì)這些最新威脅的最佳工具和技術(shù)。

以下是企業(yè)現(xiàn)代DDoS防護(hù)措施中的5項(xiàng)必備功能:

必備功能1:應(yīng)用層DDoS防護(hù)

應(yīng)用層(L7) DDoS攻擊已經(jīng)超過網(wǎng)絡(luò)層(L3/4)攻擊,成為了最廣泛的攻擊矢量。據(jù)Radware 2017-2018年ERT報(bào)告稱,64%的企業(yè)都面臨著應(yīng)用層攻擊,相比之下,面臨網(wǎng)絡(luò)層攻擊的企業(yè)僅為51%。

事實(shí)上,據(jù)ERT報(bào)告稱,在所有攻擊類型中(包括網(wǎng)絡(luò)層和應(yīng)用層),HTTP洪水是排名第一的攻擊矢量。此外,SSL、DNS和SMTP攻擊也是常見的應(yīng)用層攻擊類型。

許多在線安全服務(wù)都承諾可以通過WAF實(shí)現(xiàn)L7層DDoS防護(hù)。然而,這通常需要在DDoS防護(hù)機(jī)制的基礎(chǔ)之上訂閱昂貴的附加WAF服務(wù)。

這些趨勢(shì)暗示了,現(xiàn)代DDoS防護(hù)已經(jīng)不只是為了防御網(wǎng)絡(luò)層DDoS攻擊。為了讓企業(yè)得到充分保護(hù),現(xiàn)代DDoS防護(hù)措施必須包含可以防御應(yīng)用層(L7)攻擊的內(nèi)置防御措施。

必備功能2:SSL DDoS洪水防護(hù)

目前,加密流量占了互聯(lián)網(wǎng)流量的一大部分。根據(jù)Mozilla的Let’s Encrypt項(xiàng)目,全球70%以上的網(wǎng)站都是通過HTTPS傳輸?shù)模@一比例在美國(guó)和德國(guó)等市場(chǎng)中更高。這些發(fā)現(xiàn)在Radware最新的ERT報(bào)告中都有所體現(xiàn),目前,96%的企業(yè)都在一定程度上采用了SSL,其中60%的企業(yè)證實(shí)了,他們的大部分流量都是經(jīng)過加密的。

然而,這種增長(zhǎng)也帶來了重大的安全挑戰(zhàn):與常規(guī)請(qǐng)求相比,加密請(qǐng)求可能需要高達(dá)15倍以上的服務(wù)器資源。這就意味著,復(fù)雜的攻擊者即使利用少量流量也可以擊垮一個(gè)網(wǎng)站。

由于越來越多的流量都是經(jīng)過加密的,SSL DDoS洪水成為了黑客越來越常用的攻擊矢量。據(jù)Radware最新的ERT報(bào)告稱,過去一年間,30%的企業(yè)都聲稱遭受了基于SSL的攻擊。

鑒于基于SSL的DDoS攻擊的威力,對(duì)希望得到充分保護(hù)的企業(yè)而言,可以防御SSL DDoS洪水的高水平防護(hù)措施是必不可少的。

必備功能3:零日防護(hù)

攻擊者在不斷尋找新的方法,繞過傳統(tǒng)的安全機(jī)制,并利用前所未見的攻擊方法攻擊企業(yè)。即使對(duì)攻擊特征碼做一些微小修改,黑客也能創(chuàng)造出手動(dòng)特征碼無法識(shí)別的攻擊。這類攻擊通常被稱為“零日”攻擊。

例如,一種常見的零日攻擊就是脈沖式DDoS攻擊,在切換到另一個(gè)攻擊矢量之前,該攻擊會(huì)利用高容量攻擊的短時(shí)脈沖。這些攻擊通常會(huì)結(jié)合許多不同的攻擊矢量,依賴需要手動(dòng)優(yōu)化的傳統(tǒng)安全解決方案的企業(yè)在面對(duì)這些打了就跑的戰(zhàn)術(shù)時(shí)往往會(huì)陷入困境。

另一類零日攻擊是放大攻擊。放大攻擊通常會(huì)采用請(qǐng)求和響應(yīng)包大小嚴(yán)重不對(duì)稱的通信協(xié)議。此類攻擊會(huì)將流量從不參與攻擊的第三方服務(wù)器上反射出來,放大攻擊流量,進(jìn)而擊垮攻擊目標(biāo)。

據(jù)Radware 2017-2018年ERT報(bào)告稱,42%的企業(yè)都遭受了脈沖式攻擊,40%的企業(yè)聲稱遭受了放大DDoS攻擊。這些趨勢(shì)說明了零日攻擊防護(hù)功能在現(xiàn)代DDoS防護(hù)機(jī)制中的必要性。

必備功能4:行為防護(hù)

由于DDoS攻擊變得越來越復(fù)雜,區(qū)分合法流量和惡意流量也隨之變得越來越困難。對(duì)于可以模仿合法用戶行為的應(yīng)用層(L7) DDoS攻擊而言尤為如此。

許多安全廠商采用的常見機(jī)制就是基于流量閾值來檢測(cè)攻擊,并使用速率限制來限制流量峰值。然而,這是一種非常粗糙的攻擊攔截方式,因?yàn)榇朔椒o法區(qū)分合法流量和惡意流量。在流量顯著增加的購(gòu)物季等活動(dòng)高峰期,這是一個(gè)非常嚴(yán)重的問題。速率限制等單一的防護(hù)機(jī)制無法區(qū)分合法流量和攻擊流量,最終會(huì)攔截合法用戶。

然而,一種可以更有效檢測(cè)并攔截攻擊的方法就是采用了解什么是正常用戶行為的行為分析技術(shù),并攔截所有不符合這種行為的流量。這不僅可以提供更高水平的防護(hù),而且可以實(shí)現(xiàn)更低的誤報(bào)率,并且不會(huì)在流量高峰期攔截合法用戶。

因此,采用了基于行為分析的檢測(cè)(和緩解)的DDoS防護(hù)措施確實(shí)是有效的DDoS防護(hù)中的必備功能。

必備功能5:詳盡的SLA

企業(yè)服務(wù)水平協(xié)議(SLA)是企業(yè)安全提供商承諾為其提供的保障。毫不夸張的說,企業(yè)安全完全取決于企業(yè)的SLA。

許多安全廠商都大肆宣揚(yáng)自己的能力,但一旦到了要做出實(shí)際承諾的時(shí)候,他們的宣揚(yáng)就會(huì)化為泡影。

為了確保企業(yè)能獲得安全廠商宣傳手冊(cè)上描述的所有服務(wù),企業(yè)需要告訴安全廠商要采取切實(shí)措施,并提供詳細(xì)的SLA,其中包括對(duì)檢測(cè)、緩解和可用性指標(biāo)的具體承諾。SLA必須涵蓋整個(gè)DDoS攻擊生命周期,以便確保企業(yè)在任何場(chǎng)景下都能得到充分的保護(hù)。

如果企業(yè)的安全提供商無法提供此類承諾,企業(yè)就應(yīng)該對(duì)該廠商能否提供高質(zhì)量的DDoS攻擊防護(hù)產(chǎn)生懷疑。這也是細(xì)粒度SLA能成為現(xiàn)代DDoS防護(hù)措施中必備功能的原因。

鏈接已復(fù)制,快去分享吧

企業(yè)網(wǎng)版權(quán)所有?2010-2024 京ICP備09108050號(hào)-6京公網(wǎng)安備 11010502049343號(hào)