【IT168】近日Radware 的安全专家表示:1月下旬发生的一连串网络攻击堪称有史以来最密集的一波网络攻击潮。
这一波黑客行动始于1月16日,当时一群支持巴勒斯坦的激进黑客活动主义者针对以色列股票市场、国家航空、中央银行、外交部以及几家存在安全漏洞的大型私人银行发起了为时超过三天的攻击活动,但是功败垂成。随后这些黑客先后加入了匿名组织并在1月23日将茅头指向众多的美国网站,希望借此抗议反盗版提案和Megaload.com网站被权威勒令关闭的事件。在这次攻击中,受影响的网站不仅有美国司法部,联邦调查局、白宫,还有美国电影协会、唱片工业协会, CBS.com,华纳音乐和环球音乐等知名企业。
Radware应急响应团队(ERT)迅速针对这一连串攻击展开了分析,随后发现那些依赖单一安全体系来管理安全事务的公司无疑是把所有的鸡蛋放进了一个篮子里,同样那些仅仅部署了边界安全解决方案的企业在这样一波混合攻击活动下也只能束手无策。通过深度剖析那些被报道的攻击案例,Radware应急响应团队发现:
- 攻击者采用多层次的多漏洞攻击手段,打击被入侵者的各层网络基础架构,包括网络、服务器和应用层。
- 原本被用于攻击网络的分布式拒绝服务攻击(DDoS)被黑客进一步开发,转而以应用作为目标。
- 攻击者更倾向于利用 “low & slow”式的攻击方法以消耗被入侵者的应用资源,而非网络协议的资源。
- 攻击者演化了其规避技术来回避检测和缓解系统,如采取基于SSL的攻击、不断修改HTTP页面中的页面请求从而形成洪水攻击,
黑客攻击的新技术和技巧的无疑提升了检测和缓解攻击的难度。从案例中我们看到,云端防DoS服务和内容分发网络(CDN)等常规安全解决方案只能解决当前这些先进攻击所带来的部分问题。云端防DoS服务的确能够缓解针对网络带宽的攻击,但是它的局限在于能够防止应用DDoS却无法阻挡“low & slow”式的攻击和SSL DDoS攻击。同样,黑客也能让攻击绕过CDN,比如不断更改每个Web事务处理过程中的页面请求,致使内容无法被缓存,最终让CDN形同虚设,反而成了将攻击送达目标服务器的中介。
但这并不意味着企业在制定DDoS保护计划时要将服务供应商拒之门外。Radware ERT结合当前的网络威胁形势给出的建议是,云端防DoS和CDN可被部署为第一层防线,因为它们能消除混迹在线上业务连接中的大量的带宽攻击。而企业边界网络安全产品便是第二道防线,以化解应用DDoS攻击、“low & slow”式DoS攻击,以及Slowloris、 Socketstress、 SSL 握手攻、HTTPS洪水攻击等等SSL攻击。这些攻击都渴望与应用层面“亲密接触”,所以必须在边界予以处理。但服务供应商通常不能熟练地检测到这些攻击,或者检测到后却没有办法正确地缓解威胁。
DDoS防护的黄金法则
Radware ERT为抵御DDoS总结了以下4条黄金法则:
· 在企业内部署能够抵御DDoS攻击网络洪水攻击、应用DDoS洪水袭击、 “low & slow”式攻击和SSL的攻击的攻击缓解系统。
· 从你的服务供应商或者MSSP(安全服务供应商)处获取并注册一个防DoS解决方案。它将帮助您清除批量攻击。
· 部署一个安全信息与事件管理(SIEM)系统以获取对业务安全状态的全面可视性,例如侦查攻击者和检查防火墙状态,从而为用户提供攻击预警。
· 建立一支由你公司IT团队成员与服务供应商团队共同组成的应急响应小组。
Radware攻击缓解系统(AMS)和Radware ERT
Radware AMS是业界首款全面集成的IT安全战略解决方案,它能实时保护基础设施和网络应用免受宕机、应用漏洞攻击、恶意软件传播、信息窃取、web服务攻击以及web篡改的困扰。Radware AMS提供了非常好的的整合解决方案能够解决目前最难防范的多漏洞攻击,帮助企业将这类专以网络基础架构设备、服务器和应用为目标发起的多层IT基础架构攻击拒之门外。
Radware AMS可被部署在云端和网络边界以交付非常好的的DDoS攻击缓解解决方案。通过与其相集成的SIEM联手,该系统便能使云端与边界同步,在最有效的位置将攻击威胁予以消灭:批量攻击可被缓解于云端,而边界就是对抗应用洪水攻击、low & slow式攻击和SSL攻击的非常好的战场。
Radware通过增加专家支持来进一步提升安全功能,由专业的安全顾问组成的紧急响应团队(ERT)7×24随时待命,为用户提供快捷、专业的紧急安全服务。顾名思义,Radware ERT是化解网络攻击的第一道防线。Radware ERT专家已经成功处理了多起知名的网络攻击事件,拥有扎实的专业知识,积累了丰富的实战应对经验,帮助客户轻松处理自身安全团队从未遇到过的安全问题。