DDoS防護新标準出台

發布日期:2018-08-03首頁 > IT資(zī)訊

 常言道“無論規模大(dà)小(xiǎo),任何金融機構都難逃DDoS攻擊一(yī)劫”。2017年6月,黑客組織Anonymous與Armada Collective就再次露面,針對包括多家金融機構在内的全球企業實施了一(yī)系列惡意行動。這些黑客團體(tǐ)不僅對包括中(zhōng)國人民銀行與香港金融管理局在内的近140家機構發起了DDoS攻擊、展示了極大(dà)的危害性,還向這些受害者發送勒索信索要大(dà)額贖金,以此換取攻擊停止。

3d16203f251df1d34fc5773d19c21809.jpg-wh_651x-s_4122570095.jpg

當前,DDoS攻擊在各行各業、尤其是在金融服務行業非常普遍,且規模與頻(pín)率不斷上升。Akamai一(yī)直通過《互聯網發展狀況安全報告》公布關于DDoS攻擊的最新研究結果,其最近一(yī)期報告顯示:遊戲行業仍是Akamai抵禦的DDoS攻擊最大(dà)的單一(yī)目标,而電(diàn)信與金融服務機構則在目标排行榜上分(fēn)居第二位與第三位。

與此同時,如上述攻擊事件所示,互聯網金融服務行業因DDoS攻擊而遭受網絡勒索已成一(yī)種趨勢。這些攻擊的目的日益明确:接管本屬于金融服務提供商(shāng)的站點與數據,并據此索要大(dà)量贖金。一(yī)旦這些網絡攻擊者在首輪攻擊中(zhōng)得手,則這些攻擊所帶來的傷害将變得更大(dà)、發起大(dà)規模DDoS攻擊的成本也将顯著下(xià)降。此外(wài),系統漏洞與未知(zhī)的惡意軟件已經成爲網絡安全的主要威脅。金融機構可能會遭遇大(dà)量勒索軟件與DDoS的混合攻擊,各種未知(zhī)的漏洞攻擊也在瞄準應用。因此,企業預防與處置的時間窗口期變得越來越短。這些均給金融機構的網絡保護與修複提出了更高的要求。

作爲全球金融系統的重要組成部分(fēn),中(zhōng)國在金融服務的網絡攻擊方面也難以獨善其身。雖然中(zhōng)國十分(fēn)重視金融行業的網絡安全,但中(zhōng)國金融機構也已不可避免地成爲網絡犯罪的主要目标。根據第三方網絡安全評估服務平台安全值發布的2017年報告,36%的中(zhōng)國金融機構受到了DDoS攻擊威脅。其中(zhōng)第三方支付公司是最大(dà)目标,它們中(zhōng)的67%都遭受過不同程度的DDoS攻擊。第三方支付公司僅使用了17%的公有雲資(zī)源,大(dà)部分(fēn)仍在使用本地服務器托管資(zī)源,因此第三方支付公司面臨着更多有針對性的網絡攻擊。其次,55%的小(xiǎo)額貸款P2P公司遭受過DDoS網絡攻擊。其中(zhōng)近半數(44%)使用公有雲資(zī)源,因此受一(yī)系列針對雲資(zī)源工(gōng)具的攻擊感染概率相對較高。

在這種背景下(xià),全球及中(zhōng)國金融機構愈發重視網絡安全問題,并将更多支出投向安全服務。另一(yī)方面,這也催生(shēng)了對于DDoS攻擊防護服務的更多需求,使得大(dà)量服務提供商(shāng)進入該市場。但是,由于許多此類服務駐留于雲端,金融機構通常難以評估、評價及區分(fēn)衆多的DDoS攻擊防護服務提供商(shāng)。那麽,金融機構如何才能确保其所選用的DDoS攻擊防護服務提供商(shāng)能夠兌現阻止互聯網上最大(dà)、最複雜(zá)攻擊的承諾呢?

基于Akamai在久經考驗的攻擊防護方面的豐富經驗——每周幫助全球前300大(dà)金融服務公司抵禦至少50次攻擊,我(wǒ)們提出了以下(xià)4項重要标準,幫助全球及中(zhōng)國金融機構評估提供商(shāng)的威脅情報、經驗、防護能力與容量:

1. 威脅情報

金融機構對DDoS攻擊的了解越深入,越可以更加主動地管理DDoS攻擊防護策略。金融機構的防護服務提供商(shāng)應定期向其提供由專屬DDoS安全專家研究團隊所編輯的全面威脅情報。Akamai的《互聯網發展狀況報告》爲金融機構提供了關于在線連接以及網絡安全趨勢與指标的多種信息與分(fēn)析,包括互聯網連接速度、寬帶使用率、移動使用情況、宕機、網絡攻擊與威脅。

2. 一(yī)線經驗

在金融機構讨論防禦網絡黑客團夥時,沒有什麽比第一(yī)手經驗更具說服力了。這些攻擊者不僅攻擊提供商(shāng)給予其客戶的防護能力,而且還迫使提供商(shāng)保護自身免遭最惡意的網絡攻擊。Akamai擁有業經驗證的一(yī)線經驗。例如:香港的一(yī)家領先金融機構曾在2017年9月遭遇過一(yī)場大(dà)規模的DDoS攻擊,其峰值攻擊達到了11.20 Gbps、3.09 Mpps。由于每隔30秒鍾,IP目标與攻擊向量就會改變一(yī)次,因此使得這家金融機構疲于奔命。最終,Akamai成功幫助該機構卸載了全部攻擊,并沒有遭受任何影響,且該機構站點仍能提供卓越的web性能。

3. 防護能力

無論金融機構規模如何,重要的是要使用一(yī)家擁有穩健能力的DDoS防護提供商(shāng),以抵禦當前及未來的各類攻擊向量,包括互聯網上最大(dà)規模的攻擊。實際上,DDoS攻擊者已在使用同樣的、高度複雜(zá)的工(gōng)具包入侵全球最大(dà)型銀行以及小(xiǎo)型社區信用社。由于在各類網絡環境下(xià)都擁有業經驗證的能力,因此無論是邊界網關協議(BGP)路由通告更改、代理或基于DNS的重定向、或者混合解決方案,Akamai均擁有爲任何金融機構環境創建适合解決方案的經驗與專長。

4. 防護容量

防護容量是區分(fēn)DDoS攻擊防護服務提供商(shāng)的一(yī)個關鍵因素。所有DDoS攻擊的目标都是要耗盡金融機構的資(zī)源(處理流量的所有設備帶寬、内存與CPU資(zī)源),以造成網絡或系統宕機,并擊潰其在線業務或應用。Akamai智能平台由分(fēn)布式的服務器與智能軟件網絡組成,每天能夠處理近3萬億次互聯網交互,每年處理價值1萬億美元以上的金融交易。Akamai全球分(fēn)布的防護網絡能夠提供必要的擴展冗餘,有效抵禦最大(dà)規模、最具破壞性的攻擊。

一(yī)次DDoS攻擊就可能會給企業造成無法挽回的損失,在由DDoS攻擊導緻的宕機期間,金融服務公司每小(xiǎo)時估計損失10000美元[5]。更可怕的是,網絡攻擊者的目标同時瞄準大(dà)型與小(xiǎo)型機構,并盡其可能地尋找漏洞!網絡安全不再僅僅是IT部門所面對的問題,企業高管也需關注該問題。了解如何選擇适合的DDoS攻擊防護提供商(shāng)可能将事關金融機構的生(shēng)死存亡。